En bugg i WooCommerces insticksprogram för betalningar utnyttjas i stor utsträckning i naturen, trots att en patch var tillgänglig för månader sedan, varnar säkerhetsforskare från flera företag.
Hackare som utnyttjar den berörda buggen kommer att kunna få administratörsrättigheter för den inriktade webbplatsen för att utföra alla högnivåoperationer som önskas. WordPress noterar att det finns mer än 600 000 installationer för WooCommerce’s Payments plug-in hittills.
En kritisk bugg i WooCommerce-plugin
WooCommerce är ett av de bästa paketen för att driva en onlinebutik, med dess svit som har ett brett utbud av verktyg för att hjälpa din vanliga verksamhet. En av dem är dess plug-in för betalningarsom låter butiksägarna acceptera kredit- och betalkortsbetalningar och har över 600 000 installationer på WordPress.
Väl, detta plugin är infekterat med ett allvarligt privilegieupptrappningsfel, spåras som CVE-2023-28121, och fick ett allvarlighetsvärde på 9,8/10. WooCommerce-utvecklare upptäckte detta fel i mars 2023 och sa att version 4.8.0 och högre är sårbara.
A lappa gjordes omedelbart tillgänglig – med Automattic som tvångsinstallerade den på alla berörda WordPress-webbplatser och höll dem säkra. Men webbplatsens administratörer måste också hålla sig uppdaterade för att förbli säkra i cybervärlden. Detta är också tidens behov, som två säkerhetsföretag varnar för att aktivt utnyttja buggen i det vilda, och utsätter alla WordPress-webbplatser som körs på sårbara WooCommerce-betalningsplugins i fara.
RCE Säkerhet sa allt som angripare behöver göra, sätta ”-förfrågningshuvudet och ställa in det på användar-ID:t för kontot de vill utge sig för. Detta kommer att göra det möjligt för dem att snabbt få den berörda användarens privilegier. Wordfence-forskare noterade en massiv kampanj inriktad på över 157 000 webbplatser på lördag, vilket utlöser communityn.
Redan innan du uppdaterar plugin-programmet, forskare råder administratörer att kolla deras webbplats efter ovanliga PHP-filer och misstänkta administratörskonton och ta bort dem. När du är klar uppdaterar du WooCommerce Payment-plugin till den senaste tillgängliga versionen.
