Платіжний плагін WooCommerce виправляє критичну вразливість, яка може дозволити захоплення сайту – WP Tavern
ви можете скористатись послугами веб-студії філандор, Замовити Сайт filandor.com . Студія не перший рік надає послуги.
WooCommerce Payments, плагін, який дозволяє власникам магазинів WooCommerce приймати платежі за кредитними та дебетовими картками та керувати транзакціями на інформаційній панелі WordPress, виправив уразливість обходу автентифікації та підвищення привілеїв із оцінкою CVSS 9,8 (критично). Плагін активний на більш ніж 500 000 веб-сайтах.
Бо Лебенс, голова інженерного відділу WooCommerce, сьогодні опублікував пораду щодо вразливості, яка, за його словами, «може надати неавторизований доступ адміністратора до заражених магазинів», якщо її використати. Його виявив дослідник безпеки, який бере участь у програмі WooCommerce HackerOne.
WooCommerce працював із WordPress.org, щоб вивести примусове оновлення для сайтів, на яких працюють WooCommerce Payments версій 4.8.0–5.6.1, до виправлених версій. Багато власників магазинів вимикають автоматичні оновлення, щоб забезпечити належне тестування перед оновленням. Тепер, коли вразливість оприлюднено, необхідно якомога швидше вручну оновити всі магазини, на яких працює плагін версії 4.8.0+. Сайти WooCommerce, розміщені на WordPress.com, Pressable та WPVIP, уже були виправлені.
Наразі WooCommerce не має жодних доказів використання вразливості, але інженери плагіна рекомендують перевірити, чи не додано на сайт будь-яких неочікуваних адміністраторів або публікацій. Порада містить додаткові відомості про те, що робити, якщо ви вважаєте, що ваш сайт постраждав. Як попереджувальний захід WooCommerce тимчасово вимкнув бета-програму WooPay, оскільки вразливість впливає на цю нову службу оплати, бета-тестування якої проводиться.
Джерело: https://wptavern.com/woocommerce-payments-plugin-patches-critical-vulnerability-that-would-allow-site-takeover