Грешка во популарниот приклучок WooCommerce Payments за WordPress доведе до ризик 500.000 сајтови.
Automattic, компанијата зад WordPress, објави безбедносна надградба за популарниот приклучок WooCommerce Payments за WordPress, кој е инсталиран на повеќе од половина милион веб-страници.
Закрпата се однесува на критична ранливост што им овозможува на напаѓачите да добијат административен пристап до ранливите локации без автентикација.
Грешката беше откриена од Мајкл Мацолини од GoldNetwork и влијае на верзии на WooCommerce Payments од 4.8.0 до 5.6.1.
Пропустот може да дозволи „неовластен напаѓач да се претставува како администратор и целосно да преземе веб-страницата без потреба од каква било интеракција со корисникот или социјален инженеринг“, рекоа од Wordfence, компанија за безбедност на WordPress. Бидејќи експлоатот не бара автентикација, многу е веројатно дека ќе биде широко распространет многу брзо.
WooCommerce вели дека не нашол докази дека овој критичен пропуст бил искористен во напади и не верува дека било која онлајн продавница или податоци за клиентите биле загрозени како резултат на оваа ранливост.
„Испративме поправка и работевме со тимот за приклучоци на WordPress за автоматско ажурирање на сајтовите со помош на WooCommerce Payments 4.8.0 до 5.6.1 до закрпените верзии. Ажурирањето во моментов се прикажува автоматски во што е можно повеќе онлајн продавници“, кажа WooCommerce.
Закрпените верзии вклучуваат 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 и 5.6.2.