WordPress obliga a parchear el plugin de WooCommerce con 500 000 instalaciones

Automattic, la compañía detrás del sistema de administración de contenido de WordPress, está forzando la instalación de una actualización de seguridad en cientos de miles de sitios web que ejecutan los populares pagos de WooCommerce para tiendas en línea.

El parche aborda una vulnerabilidad crítica que puede permitir que los atacantes no autenticados obtengan acceso de administrador a las tiendas vulnerables.

Esta falla fue reportada por Michael Mazzolini de GoldNetwork y afecta a WooCommerce Payments 4.8.0 y versiones posteriores.

WordFence dice que  los atacantes no autenticados pueden explotar el error para “suplantar a un administrador y apoderarse por completo de un sitio web sin necesidad de interacción del usuario o ingeniería social”, mientras que Patchstack advierte que, dado que “esta vulnerabilidad no requiere autenticación, es muy probable que sea masiva”. explotado muy pronto”.

El equipo de WooCommerce lo parcheó en las actualizaciones de seguridad  emitidas hoy  y dice que no ha encontrado ninguna evidencia de que este error crítico esté siendo atacado o explotado en la naturaleza.

“En este momento no tenemos evidencia de que la vulnerabilidad haya sido explotada más allá de identificarla en nuestro propio programa de prueba de seguridad. No creemos que ninguna tienda o datos de clientes se hayan visto comprometidos como resultado de esta vulnerabilidad”, dijo Beau Lebens, Jefe de  Ingeniería  de WooCommerce.

“Desactivamos de inmediato los servicios afectados y mitigamos el problema para todos los sitios web alojados en WordPress.com, Pressable y WPVIP”.

Actualización de seguridad implementada en algunos sitios vulnerables 

Las tiendas en línea vulnerables de WooCommerce alojadas en WordPress.com están en proceso de actualización o ya se han actualizado para corregir la vulnerabilidad.

“Enviamos una solución y trabajamos con el equipo de complementos de WordPress.org para actualizar automáticamente los sitios que ejecutan WooCommerce Payments 4.8.0 a 5.6.1 a versiones parcheadas. Actualmente, la actualización se está implementando automáticamente en tantas tiendas como sea posible”, Lebens agregado.

Los administradores que alojan una instalación de WordPress en sus propios servidores deberán actualizar manualmente WooCommerce mediante el siguiente procedimiento:

1. Desde su panel de administración de WP, haga clic en el  elemento del menú Complementos  y busque  Pagos de WooCommerce  en su lista de complementos.
2. El número de versión debe mostrarse en la  columna Descripción  junto al nombre del complemento. Si este número coincide con cualquiera de las versiones parcheadas que se enumeran a continuación,  no se necesita ninguna otra acción .
3. Si hay una nueva versión disponible para descargar, debería ver un aviso que lo guíe para  actualizar WooCommerce Payments  ; continúe y hágalo.

Versiones parcheadas de WooCommerce Payments: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 y 5.6.2.

Compruebe si hay signos de compromiso

Después de proteger sus tiendas, se recomienda a los administradores que verifiquen si hay usuarios administradores recién agregados y publicaciones sospechosas agregadas a sus sitios web.

Si encuentra alguna evidencia de actividad inesperada, debe actualizar inmediatamente todas las contraseñas de administrador y  rotar  las claves API de Payment Gateway y WooCommerce.

“También recomendamos cambiar cualquier dato privado o secreto almacenado en su base de datos de WordPress/WooCommerce. Esto puede incluir claves API, claves públicas/privadas para pasarelas de pago y más, según la configuración particular de su tienda”, dijo Lebens.

“Alentamos a cualquier persona que apoye o desarrolle para otros comerciantes de WooCommerce a compartir esta información y asegurarse de que sus clientes que tengan instalado WooCommerce Payments estén usando la versión más actualizada de WooCommerce Payments”.

Este complemento de WordPress  tiene más de 500,000 instalaciones activas  y se puede usar para proporcionar a los clientes de la tienda un pago fácil de configurar y administrar.