افزونه پرداخت WooCommerce آسیب پذیری حیاتی را اصلاح می کند که به کنترل سایت اجازه می دهد – WP Tavern
انتشار: فروردین 04، 1402
بروزرسانی: 24 تیر 1404

افزونه پرداخت WooCommerce آسیب پذیری حیاتی را اصلاح می کند که به کنترل سایت اجازه می دهد – WP Tavern

WooCommerce با WordPress.org همکاری کرد تا یک به روزرسانی اجباری برای سایت هایی که WooCommerce Payments نسخه های 4.8.0 تا 5.6.1 دارند را به نسخه های وصله شده ارائه کند. بسیاری از صاحبان فروشگاه ها به روزرسانی های خودکار را خاموش کرده اند تا از آزمایش صحیح قبل از به روزرسانی مطمئن شوند. اکنون که این آسیب پذیری عمومی شده است، ضروری است که همه فروشگاه هایی که نسخه 4.8.0+ افزونه را در اسرع وقت به روزرسانی می کنند، به صورت دستی انجام دهند. سایت های WooCommerce که در WordPress.com، Pressable و WPVIP میزبانی شده اند قبلاً وصله شده اند.

در حال حاضر WooCommerce هیچ مدرکی دال بر سوء استفاده از این آسیب پذیری ندارد، اما مهندسان این افزونه توصیه می کنند هر کاربر غیرمنتظره ادمین یا پست اضافه شده به سایت را بررسی کنید. این مشاوره ای شامل جزئیات بیشتر در مورد کارهایی است که اگر فکر می کنید سایت شما تحت تأثیر قرار گرفته است، باید انجام دهید. به عنوان یک اقدام احتیاطی، WooCommerce موقتاً غیرفعال شده است WooPay برنامه بتا از آنجایی که آسیب پذیری بر این سرویس پرداخت جدید تأثیر می گذارد، آنها در حال آزمایش بتا هستند.

دسته بندی: تجارت الکترونیک، اخبار


منبع: https://wptavern.com/woocommerce-payments-plugin-patches-critical-vulnerability-that-would-allow-site-takeover

پرداخت های ووکامرسافزونه ای که به صاحبان فروشگاه های WooCommerce اجازه می دهد پرداخت های کارت اعتباری و نقدی را بپذیرند و تراکنش های داخل داشبورد وردپرس را مدیریت کنند، آسیب پذیری Authentication Bypass و Privilege Escalation را با امتیاز CVSS 9.8 (بحرانی) اصلاح کرده است. این افزونه در بیش از 500000 وب سایت فعال است.

Beau Lebens، رئیس مهندسی WooCommerce، منتشر کرد مشاوره ای در مورد آسیب پذیری امروز، که به گفته او «ممکن است در صورت بهره برداری، امکان دسترسی مدیران غیرمجاز به فروشگاه های آسیب دیده را فراهم کند». این توسط یک محقق امنیتی شرکت کننده در برنامه HackerOne WooCommerce کشف شد.

نویسنده: تیم تحریریه روحانی نژاد