WooCommerce Payments это плагин, позволяющий владельцам интернет-магазинов на базе плагина WooCommerce принимать платежи по кредитным и дебетовым картам и управлять транзакциями внутри административной панели WordPress. В плагине исправили уязвимость обхода аутентификации и расширения прав доступа с оценкой по CVSS — 9.8 (Критическая). Стоит отметить, что плагин работает на более чем 500 000 веб-сайтах.
Бо Лебенс, руководитель инженерного отдела WooCommerce, опубликовал сегодня сообщение об уязвимости, которая, по его словам, «может привести к несанкционированному доступу в роли администратора к текущему интернет-магазину». Уязвимость была обнаружена специалистом по безопасности, участвующим в программе WooCommerce HackerOne.
WooCommerce совместно с WordPress.org выпустила вынужденное обновление для сайтов с WooCommerce Payments с версий 4.8.0 до 5.6.1. Многие владельцы магазинов отключили автоматическое обновление, чтобы обеспечить надлежащее тестирование перед обновлением. Теперь, когда уязвимость стала достоянием общественности, необходимо, чтобы все магазины, работающие на версии 4.8.0+ плагина, обновились вручную как можно скорее. Сайты WooCommerce, размещенные на WordPress.com, Pressable и WPVIP, уже были обновлены.
На данный момент у WooCommerce нет никаких доказательств использования уязвимости, но разработчики плагина рекомендуют проверить, нет ли на сайте неожиданных пользователей-администраторов или добавленных постов. В информационном сообщении содержится подробная информация о том, что делать, если вы считаете, что ваш сайт подвергся уязвимости. В качестве меры предосторожности WooCommerce временно отключила бета-программу WooPay, так как уязвимость влияет на новый сервис оплаты, который проходил бета-тестирование.