WooCommerce Payments 是一款 WordPress WooCommerce 的支付插件,目前有超过50万个站点正在使用它。WooCommerce 支付插件中的严重漏洞允许未经身份验证的攻击者接管整个站点。
WooCommerce Payments 严重漏洞
插件的发布者 Automattic 宣布发现并修补了 WooCommerce Payments 插件中的一个严重漏洞。
该漏洞允许攻击者获得管理员级别的凭据并执行完整的站点接管。
管理员是 WordPress 中权限最高的用户角色,授予对 WordPress 站点的完全访问权限,拥有创建更多管理员级别的帐户以及删除整个网站的能力。
使这个特殊漏洞备受关注的原因是未经身份验证的攻击者可以使用它,这意味着他们不必首先获得其他权限即可操纵站点并获得管理员级别的用户角色。
WordPress 安全插件开发商 Wordfence 描述了这个漏洞:
“在审查更新后,我们确定它删除了易受攻击的代码,这些代码可能允许未经身份验证的攻击者冒充管理员并完全接管网站,而无需任何用户交互或社会工程。”
Sucuri 网站安全平台发布了有关该漏洞的警告,其中包含更多详细信息。
通知 Automattic 的第三方安全研究人员于 2023 年 3 月 22 日发现了 WooCommerce 支付插件漏洞。
Automattic 迅速发布了补丁。
该漏洞的详细信息将于 2023 年 4 月 6 日发布。
哪个版本的 WooCommerce 支付插件存在漏洞
WooCommerce 将插件更新到版本 5.6.2。这被认为是网站的最新和不易受攻击的版本。
Automattic 已推送强制更新,但某些站点可能尚未收到它。
建议受影响插件的所有用户检查他们的安装是否更新到版本 WooCommerce Payments Plugin 5.6.2
修复漏洞后,WooCommerce 建议采取以下措施:
一旦运行了安全版本,我们建议您检查您网站上是否有任何意外的管理员用户或帖子。如果您发现任何意外活动的证据,我们建议:
更新您网站上所有管理员用户的密码,尤其是当他们在多个网站上重复使用相同密码时。
轮换您网站上使用的任何支付网关和 WooCommerce API 密钥。
