Automattic، ناشران افزونه WooCommerce، از کشف و اصلاح یک آسیب پذیری مهم در افزونه WooCommerce Payments خبر داد.
این آسیبپذیری به مهاجم اجازه میدهد تا اعتبار سطح Administrator را به دست آورد و سایت را به طور کامل تصاحب کند.
مدیر بالاترین مجوز نقش کاربر در وردپرس است که دسترسی کامل به یک سایت وردپرس را با توانایی ایجاد حسابهای بیشتر در سطح مدیریت و همچنین امکان حذف کل وبسایت اعطا میکند.
چیزی که این آسیبپذیری خاص را نگرانکننده میکند این است که در دسترس مهاجمان احراز هویت نشده است، به این معنی که برای دستکاری سایت و دریافت نقش کاربری در سطح مدیریت، ابتدا نیازی به دریافت مجوز دیگری ندارند.
سازنده افزونه های امنیتی وردپرس Wordfence این آسیب پذیری را توصیف کرد:
پس از بررسی بهروزرسانی، متوجه شدیم که کد آسیبپذیری را حذف کرده است که میتواند به یک مهاجم غیرقانونی اجازه جعل هویت یک مدیر را بدهد و وبسایت را کاملاً بدون نیاز به تعامل کاربر یا مهندسی اجتماعی تحت کنترل درآورد.»
پلت فرم امنیتی وب سایت Sucuri هشداری منتشر کرد در مورد آسیب پذیری که به جزئیات بیشتر می رود.
Sucuri توضیح می دهد که به نظر می رسد این آسیب پذیری در فایل زیر باشد:
/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php
آنها همچنین توضیح دادند که “اصلاح” پیاده سازی شده توسط Automattic حذف فایل است.
آب میوه های مشاهده شده:
“با توجه به تاریخچه تغییر افزونه، به نظر می رسد که فایل و عملکرد آن به سادگی حذف شده است…”
وب سایت WooCommerce توصیه ای را منتشر کرد که دلیل آنها را توضیح می دهد حذف کامل فایل آسیب دیده را انتخاب کرد:
از آنجایی که این آسیبپذیری پتانسیل تأثیرگذاری بر WooPay، یک سرویس پرداخت پرداخت جدید در آزمایش بتا را داشت، ما برنامه بتا را موقتاً غیرفعال کردهایم.»
آسیبپذیری افزونه پرداخت WooCommerce در ۲۲ مارس ۲۰۲۳ توسط یک محقق امنیتی شخص ثالث که به Automattic اطلاع داده بود، کشف شد.
Automattic به سرعت یک پچ صادر کرد.
جزئیات این آسیب پذیری در تاریخ 6 آوریل 2023 منتشر خواهد شد.
یعنی هر سایتی که این افزونه را به روز نکرده باشد آسیب پذیر خواهد شد.
چه نسخه ای از افزونه پرداخت ووکامرس آسیب پذیر است
WooCommerce افزونه را به نسخه 5.6.2 به روز کرد. این بهروزترین و غیرآسیبپذیرترین نسخه وبسایت در نظر گرفته میشود.
Automattic بهروزرسانی اجباری را اعمال کرده است، اما ممکن است برخی از سایتها آن را دریافت نکرده باشند.
توصیه می شود همه کاربران افزونه آسیب دیده بررسی کنند که نصب آنها به نسخه 5.6.2 افزونه پرداخت WooCommerce به روز شده است.
هنگامی که آسیب پذیری وصله شد، WooCommerce اقدامات زیر را توصیه می کند:
هنگامی که یک نسخه ایمن را اجرا می کنید، توصیه می کنیم هر کاربر غیرمنتظره ادمین یا پست روی سایت خود را بررسی کنید. اگر شواهدی از فعالیت غیرمنتظره پیدا کردید، پیشنهاد می کنیم:
بهروزرسانی گذرواژهها برای هر کاربر Admin در سایت شما، بهویژه اگر از رمزهای عبور مشابه در چندین وبسایت استفاده مجدد کنند.
چرخاندن تمامی کلیدهای درگاه پرداخت و API WooCommerce استفاده شده در سایت شما. در اینجا نحوه به روز رسانی کلیدهای WooCommerce API آورده شده است. برای بازنشانی کلیدهای دیگر، لطفاً به اسناد مربوط به آن افزونهها یا خدمات خاص مراجعه کنید.”
توضیح دهنده آسیب پذیری WooCommerce را بخوانید:
آسیبپذیری حیاتی در پرداختهای ووکامرس وصله شده است – آنچه باید بدانید
منبع: https://www.searchenginejournal.com/woocommerce-payments-plugin-vulnerability/483125/