È stata corretta una importante vulnerabilità in WooCommerce, uno dei plugin WordPress più utilizzato al mondo per la gestione del commercio elettronico. Un problema di sicurezza talmente importante che Automattic, la società che ne gestisce lo sviluppo, intende forzarne l’aggiornamento su oltre 500.000 installazioni.
Indice degli argomenti
Vulnerabilità su WooCommerce Payments: dettagli
In particolare, la patch corregge una vulnerabilità critica che potrebbe consentire a utenti malintenzionati, non autenticati, di ottenere l’accesso amministrativo ai negozi vulnerabili. Difetto che interessa un grande numero di versioni del plugin WooCommerce, dalla 4.8.0 alla 5.6.1.
In altre parole, come spiega Wordfence, il problema consiste nel fatto che la piattaforma può consentire a un utente non autorizzato di impersonare un amministratore e assumere completamente il controllo di un sito Web senza alcuna interazione dell’utente o ingegneria sociale verso i reali proprietari dell’installazione.
Secondo il ricercatore di Sucuri Ben Martin, la vulnerabilità è in un file PHP chiamato “class-platform-checkout-session.php”. La scoperta e la segnalazione della vulnerabilità è attribuita a Michael Mazzolini della Swiss GoldNetwork, che ha provveduto a farne responsible disclosure tramite HackerOne.
Aggiornare subito l’e-commerce
WooCommerce ha anche dichiarato che è disponibile l’aggiornamento direttamente con WordPress tramite la funzione “aggiorna automaticamente”, per tutti i siti Web che stanno utilizzando versioni del software vulnerabili.
Tra le versioni oggetto di aggiornamento troviamo: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 e 5.6.2. Risulta pertanto di estrema importanza la rapidità di aggiornamento per tutti gli utilizzatori di WooCommerce come gestionale per il proprio negozio online, ad oggi è l’unico modo per proteggere da tale minaccia, il proprio sito.
Inoltre, gli sviluppatori hanno anche applicato la disabilitazione del plugin beta WooPay, a causa del timore che un difetto di sicurezza possa influire sul servizio di verifica dei pagamenti.
A oggi, non ci sono prove che la vulnerabilità sia stata sfruttata in attacchi reali, ma Wordfence si aspetta che venga ampiamente utilizzata non appena il primo PoC verrà reso disponibile.
Oltre all’aggiornamento all’ultima versione, si consiglia agli utenti di verificare la presenza di amministratori appena aggiunti e, se trovati, di modificare le password dell’amministratore, il gateway di pagamento e le chiavi API di WooCommerce.
