آسیب پذیری افزونه WooCommerce Payments وردپرس


Automattic، ناشران افزونه WooCommerce، از کشف و اصلاح یک آسیب پذیری مهم در افزونه WooCommerce Payments خبر داد.

این آسیب‌پذیری به مهاجم اجازه می‌دهد تا اعتبار سطح Administrator را به دست آورد و سایت را به طور کامل تصاحب کند.

مدیر بالاترین مجوز نقش کاربر در وردپرس است که دسترسی کامل به یک سایت وردپرس را با توانایی ایجاد حساب‌های بیشتر در سطح مدیریت و همچنین امکان حذف کل وب‌سایت اعطا می‌کند.

چیزی که این آسیب‌پذیری خاص را نگران‌کننده می‌کند این است که در دسترس مهاجمان احراز هویت نشده است، به این معنی که برای دستکاری سایت و دریافت نقش کاربری در سطح مدیریت، ابتدا نیازی به دریافت مجوز دیگری ندارند.

سازنده افزونه های امنیتی وردپرس Wordfence این آسیب پذیری را توصیف کرد:

پس از بررسی به‌روزرسانی، متوجه شدیم که کد آسیب‌پذیری را حذف کرده است که می‌تواند به یک مهاجم غیرقانونی اجازه جعل هویت یک مدیر را بدهد و وب‌سایت را کاملاً بدون نیاز به تعامل کاربر یا مهندسی اجتماعی تحت کنترل درآورد.»

پلت فرم امنیتی وب سایت Sucuri هشداری منتشر کرد در مورد آسیب پذیری که به جزئیات بیشتر می رود.

Sucuri توضیح می دهد که به نظر می رسد این آسیب پذیری در فایل زیر باشد:

/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php

آنها همچنین توضیح دادند که “اصلاح” پیاده سازی شده توسط Automattic حذف فایل است.

آب میوه های مشاهده شده:

“با توجه به تاریخچه تغییر افزونه، به نظر می رسد که فایل و عملکرد آن به سادگی حذف شده است…”

وب سایت WooCommerce توصیه ای را منتشر کرد که دلیل آنها را توضیح می دهد حذف کامل فایل آسیب دیده را انتخاب کرد:

از آنجایی که این آسیب‌پذیری پتانسیل تأثیرگذاری بر WooPay، یک سرویس پرداخت پرداخت جدید در آزمایش بتا را داشت، ما برنامه بتا را موقتاً غیرفعال کرده‌ایم.»

آسیب‌پذیری افزونه پرداخت WooCommerce در ۲۲ مارس ۲۰۲۳ توسط یک محقق امنیتی شخص ثالث که به Automattic اطلاع داده بود، کشف شد.

Automattic به سرعت یک پچ صادر کرد.

جزئیات این آسیب پذیری در تاریخ 6 آوریل 2023 منتشر خواهد شد.

یعنی هر سایتی که این افزونه را به روز نکرده باشد آسیب پذیر خواهد شد.

چه نسخه ای از افزونه پرداخت ووکامرس آسیب پذیر است

WooCommerce افزونه را به نسخه 5.6.2 به روز کرد. این به‌روزترین و غیرآسیب‌پذیرترین نسخه وب‌سایت در نظر گرفته می‌شود.

Automattic به‌روزرسانی اجباری را اعمال کرده است، اما ممکن است برخی از سایت‌ها آن را دریافت نکرده باشند.

توصیه می شود همه کاربران افزونه آسیب دیده بررسی کنند که نصب آنها به نسخه 5.6.2 افزونه پرداخت WooCommerce به روز شده است.

هنگامی که آسیب پذیری وصله شد، WooCommerce اقدامات زیر را توصیه می کند:

هنگامی که یک نسخه ایمن را اجرا می کنید، توصیه می کنیم هر کاربر غیرمنتظره ادمین یا پست روی سایت خود را بررسی کنید. اگر شواهدی از فعالیت غیرمنتظره پیدا کردید، پیشنهاد می کنیم:

به‌روزرسانی گذرواژه‌ها برای هر کاربر Admin در سایت شما، به‌ویژه اگر از رمزهای عبور مشابه در چندین وب‌سایت استفاده مجدد کنند.

چرخاندن تمامی کلیدهای درگاه پرداخت و API WooCommerce استفاده شده در سایت شما. در اینجا نحوه به روز رسانی کلیدهای WooCommerce API آورده شده است. برای بازنشانی کلیدهای دیگر، لطفاً به اسناد مربوط به آن افزونه‌ها یا خدمات خاص مراجعه کنید.”

توضیح دهنده آسیب پذیری WooCommerce را بخوانید:

آسیب‌پذیری حیاتی در پرداخت‌های ووکامرس وصله شده است – آنچه باید بدانید




منبع: https://www.searchenginejournal.com/woocommerce-payments-plugin-vulnerability/483125/