Automattic, los editores del complemento WooCommerce, anunciaron el descubrimiento y el parche de una vulnerabilidad crítica en el complemento WooCommerce Payments.
La vulnerabilidad permite que un atacante obtenga credenciales de nivel de administrador y realice una toma de control completa del sitio.
El administrador es el rol de usuario de permiso más alto en WordPress, otorgando acceso completo a un sitio de WordPress con la capacidad de crear más cuentas de nivel de administrador, así como la capacidad de eliminar todo el sitio web.
Lo que hace que esta vulnerabilidad en particular sea motivo de gran preocupación es que está disponible para atacantes no autenticados, lo que significa que no tienen que adquirir primero otro permiso para manipular el sitio y obtener la función de usuario de nivel de administrador.
El fabricante de complementos de seguridad de WordPress, Wordfence, describió esta vulnerabilidad:
“Después de revisar la actualización, determinamos que eliminó el código vulnerable que podría permitir que un atacante no autenticado se haga pasar por un administrador y se apodere por completo de un sitio web sin necesidad de interacción del usuario o ingeniería social”.
La plataforma de seguridad del sitio web de Sucuri publicó una advertencia sobre la vulnerabilidad que da más detalles.
Sucuri explica que la vulnerabilidad parece estar en el siguiente archivo:
/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php
También explicaron que el “arreglo” implementado por Automattic es eliminar el archivo.
Sucuri observa:
“Según el historial de cambios del complemento, parece que el archivo y su funcionalidad simplemente se eliminaron por completo…”
El sitio web de WooCommerce publicó un aviso que explica por qué eligieron eliminar por completo el archivo afectado:
“Debido a que esta vulnerabilidad también tenía el potencial de afectar a WooPay, un nuevo servicio de verificación de pagos en pruebas beta, hemos desactivado temporalmente el programa beta”.
La vulnerabilidad del complemento de pago de WooCommerce fue descubierta el 22 de marzo de 2023 por un investigador de seguridad externo que notificó a Automattic.
Automattic rápidamente emitió un parche.
Los detalles de la vulnerabilidad se darán a conocer el 6 de abril de 2023.
Eso significa que cualquier sitio que no haya actualizado este complemento se volverá vulnerable.
Qué versión del complemento de pagos de WooCommerce es vulnerable
WooCommerce actualizó el complemento a la versión 5.6.2. Esta se considera la versión más actualizada y no vulnerable del sitio web.
Automattic ha enviado una actualización forzada; sin embargo, es posible que algunos sitios no la hayan recibido.
Se recomienda que todos los usuarios del complemento afectado verifiquen que sus instalaciones estén actualizadas a la versión WooCommerce Payments Plugin 5.6.2
Una vez que se corrige la vulnerabilidad, WooCommerce recomienda realizar las siguientes acciones:
“Una vez que esté ejecutando una versión segura, le recomendamos que verifique si hay usuarios administradores inesperados o publicaciones en su sitio. Si encuentra alguna evidencia de actividad inesperada, le sugerimos:
Actualizar las contraseñas de los usuarios administradores de su sitio, especialmente si reutilizan las mismas contraseñas en varios sitios web.
Rotación de las claves API de WooCommerce y Payment Gateway utilizadas en su sitio. Aquí le mostramos cómo actualizar sus claves API de WooCommerce. Para restablecer otras claves, consulte la documentación de esos complementos o servicios específicos”.
Lea el explicador de vulnerabilidades de WooCommerce:
Vulnerabilidad crítica parcheada en los pagos de WooCommerce: lo que necesita saber
Con información de Search Engine Journal.
Leer la nota Completa > Vulnerabilidad del complemento de pagos de WordPress WooCommerce