در حال حاضر WooCommerce هیچ مدرکی دال بر سوء استفاده از این آسیب پذیری ندارد، اما مهندسان این افزونه توصیه می کنند هر کاربر غیرمنتظره ادمین یا پست اضافه شده به سایت را بررسی کنید. این مشاوره ای شامل جزئیات بیشتر در مورد کارهایی است که اگر فکر می کنید سایت شما تحت تأثیر قرار گرفته است، باید انجام دهید. به عنوان یک اقدام احتیاطی، WooCommerce موقتاً غیرفعال شده است WooPay برنامه بتا از آنجایی که آسیبپذیری بر این سرویس پرداخت جدید تأثیر میگذارد، آنها در حال آزمایش بتا هستند.
منبع: https://wptavern.com/woocommerce-payments-plugin-patches-critical-vulnerability-that-would-allow-site-takeover
پرداخت های ووکامرسافزونهای که به صاحبان فروشگاههای WooCommerce اجازه میدهد پرداختهای کارت اعتباری و نقدی را بپذیرند و تراکنشهای داخل داشبورد وردپرس را مدیریت کنند، آسیبپذیری Authentication Bypass و Privilege Escalation را با امتیاز CVSS 9.8 (بحرانی) اصلاح کرده است. این افزونه در بیش از 500000 وب سایت فعال است.
WooCommerce با WordPress.org همکاری کرد تا یک بهروزرسانی اجباری برای سایتهایی که WooCommerce Payments نسخههای 4.8.0 تا 5.6.1 دارند را به نسخههای وصلهشده ارائه کند. بسیاری از صاحبان فروشگاهها بهروزرسانیهای خودکار را خاموش کردهاند تا از آزمایش صحیح قبل از بهروزرسانی مطمئن شوند. اکنون که این آسیبپذیری عمومی شده است، ضروری است که همه فروشگاههایی که نسخه 4.8.0+ افزونه را در اسرع وقت بهروزرسانی میکنند، بهصورت دستی انجام دهند. سایتهای WooCommerce که در WordPress.com، Pressable و WPVIP میزبانی شدهاند قبلاً وصله شدهاند.
Beau Lebens، رئیس مهندسی WooCommerce، منتشر کرد مشاوره ای در مورد آسیبپذیری امروز، که به گفته او «ممکن است در صورت بهرهبرداری، امکان دسترسی مدیران غیرمجاز به فروشگاههای آسیبدیده را فراهم کند». این توسط یک محقق امنیتی شرکت کننده در برنامه HackerOne WooCommerce کشف شد.