Ngày 24 tháng 3 năm 2023Ravie LakshmananBảo mật web / WordPress
Các bản vá đã được phát hành cho một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến plugin Thanh toán WooC Commerce cho WordPress, được cài đặt trên hơn 500.000 trang web.
Công ty cho biết trong một lời khuyên vào ngày 23 tháng 3 năm 2023. Lỗ hổng này, nếu không được giải quyết, có thể cho phép kẻ xấu giành quyền truy cập trái phép của quản trị viên vào các cửa hàng bị ảnh hưởng. Lỗ hổng này ảnh hưởng đến các phiên bản 4.8.0 đến 5.6.1.
Nói cách khác, vấn đề có thể cho phép “kẻ tấn công không được xác thực đóng giả quản trị viên và chiếm hoàn toàn trang web mà không cần bất kỳ tương tác người dùng hoặc kỹ thuật xã hội nào”, công ty bảo mật WordPress Wordfence cho biết.
Nhà nghiên cứu Ben Martin của Sucuri lưu ý rằng lỗ hổng dường như nằm trong một tệp PHP có tên “class-platform-checkout-session.php”.
Michael Mazzolini của công ty thử nghiệm thâm nhập Thụy Sĩ GoldNetwork được cho là người đã phát hiện và báo cáo lỗ hổng bảo mật.
WooC Commerce cũng cho biết họ đã làm việc với WordPress để tự động cập nhật các trang web bằng các phiên bản phần mềm bị ảnh hưởng. Các phiên bản vá bao gồm 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 và 5.6.2.
Hơn nữa, những người duy trì plugin thương mại điện tử lưu ý rằng họ đang vô hiệu hóa chương trình WooPay beta do lo ngại rằng lỗi bảo mật có khả năng ảnh hưởng đến dịch vụ thanh toán.
Ram Gall, nhà nghiên cứu của Wordfence, cảnh báo rằng không có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác tích cực cho đến nay, nhưng nó dự kiến sẽ được vũ khí hóa trên quy mô lớn sau khi có bằng chứng về khái niệm.
Bên cạnh việc cập nhật lên phiên bản mới nhất, người dùng nên kiểm tra người dùng quản trị viên mới được thêm vào và nếu có, hãy thay đổi tất cả mật khẩu quản trị viên và xoay cổng thanh toán cũng như khóa API WooC Commerce.
