تم إصدار التصحيحات لخلل أمني خطير يؤثر على المكون الإضافي WooCommerce Payments لـ WordPress ، والذي تم تثبيته على أكثر من 500000 موقع.
قالت الشركة في تقرير استشاري في 23 مارس 2023 ، إذا تُرك الخلل دون حل ، يمكن أن يمكّن ممثلًا سيئًا من الحصول على وصول إداري غير مصرح به إلى المتاجر المتأثرة. إنه يؤثر على الإصدارات 4.8.0 إلى 5.6.1.
بعبارة أخرى ، يمكن أن تسمح المشكلة "لمهاجم غير مصدق بانتحال شخصية مسؤول والاستيلاء على موقع ويب بالكامل دون أي تفاعل من المستخدم أو الهندسة الاجتماعية المطلوبة" ، حسبما قالت شركة WordPress الأمنية Wordfence .
يبدو أن الثغرة الأمنية تكمن في ملف PHP يسمى "class-platform-checkout-session.php" ، كما أشار الباحث في Sucuri بن مارتن .
يعود الفضل في اكتشاف الثغرة والإبلاغ عنها إلى مايكل مازوليني من شركة اختبار الاختراق السويسرية GoldNetwork.
قالت WooCommerce أيضًا إنها عملت مع WordPress لتحديث المواقع تلقائيًا باستخدام الإصدارات المتأثرة من البرنامج. تتضمن الإصدارات المصححة 4.8.2 و 4.9.1 و 5.0.4 و 5.1.3 و 5.2.2 و 5.3.1 و 5.4.1 و 5.5.2 و 5.6.2.
علاوة على ذلك ، لاحظ مشرفو المكوِّن الإضافي للتجارة الإلكترونية أنه يقوم بتعطيل برنامج WooPay التجريبي بسبب مخاوف من أن الخلل الأمني لديه القدرة على التأثير على خدمة سداد المدفوعات.
حذر الباحث في Wordfence رام غال من عدم وجود دليل على أن الثغرة الأمنية قد تم استغلالها بشكل فعال حتى الآن ، ولكن من المتوقع أن يتم تسليحها على نطاق واسع بمجرد توفر إثبات المفهوم.
إلى جانب التحديث إلى أحدث إصدار ، يُنصح المستخدمون بالتحقق من المستخدمين الإداريين المضافين حديثًا ، وإذا كان الأمر كذلك ، فقم بتغيير جميع كلمات مرور المسؤول وقم بتدوير بوابة الدفع ومفاتيح WooCommerce API.