WordPress içerik yönetim sisteminin arkasındaki şirket olan Automattic, çevrimiçi mağazalar için son derece popüler WooCommerce ödemelerini çalıştıran yüz binlerce web sitesine bir güvenlik güncellemesi yüklemesidir.
Yama, kimlik doğrulanmamış saldırganların savunmasız mağazalara yönetici erişimi kazanmasına izin verebilecek kritik bir güvenlik açığını ele alıyor.
Bu kusur GoldNetwork'ten Michael Mazzolini tarafından bildirildi ve WooCommerce ödemelerini 4.8.0 ve daha yüksek etkiliyor.
WordFence, kimlik doğrulanmamış saldırganların "bir yöneticiyi taklit etmek ve herhangi bir kullanıcı etkileşimi veya sosyal mühendislik olmadan bir web sitesini tamamen devralmak için hatayı kullanabileceğini" söylüyor, Patchstack "Bu kırılganlık kimlik doğrulaması gerektirmediği için, kitlesel olacak- çok yakında sömürüldü. "
WooCommerce ekibi, bugün daha önce yayınlanan güvenlik güncellemelerinde yamaladı ve bu kritik hatanın vahşi doğada hedeflendiğine veya sömürüldüğüne dair herhangi bir kanıt bulamadığını söylüyor.
"Şu anda güvenlik açığının kendi güvenlik test programımızda tanımlamanın ötesinde kullanıldığına dair hiçbir kanıtımız yok. Bu kırılganlığın bir sonucu olarak herhangi bir mağaza veya müşteri verisinin tehlikeye atıldığına inanmıyoruz." Dedi. WooCommerce.
"Etkilenen hizmetleri hemen devre dışı bıraktık ve WordPress.com, Presable ve WPVIP'de barındırılan tüm web siteleri için sorunu azalttık."
WordPress.com'da barındırılan savunmasız wooCommerce çevrimiçi mağazalar, güncellenme sürecindedir veya güvenlik açığını düzeltmek için güncellenmiştir.
"Bir düzeltme gönderdik ve woocommerce ödemelerini 4.8.0 ila 5.6.1'e yamalı sürümleri çalıştıran siteleri otomatik olarak güncellemek için WordPress.org eklentileri ekibi ile çalıştık. Güncelleme şu anda otomatik olarak mümkün olduğunca çok mağazaya sunuluyor," katma.
Kendi sunucularında bir WordPress kurulumunu barındıran yöneticiler, aşağıdaki prosedürü kullanarak WooCommerce'i manuel olarak güncellemelidir:
Yamalı WooCommerce Ödemeleri Sürümleri: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 ve 5.6.2.
Mağazalarını güvence altına aldıktan sonra, yöneticilerin yeni eklenen yönetici kullanıcılarını ve web sitelerine eklenen şüpheli yayınları kontrol etmeleri tavsiye edilir.
Beklenmedik etkinliklere dair herhangi bir kanıt bulursanız, tüm yönetici şifrelerini derhal güncellemeli ve ödeme ağ geçidini ve WooCommerce API anahtarlarını döndürmelisiniz.
Lebens, "Ayrıca WordPress/WooCommerce veritabanınızda depolanan özel veya gizli verileri değiştirmenizi öneririz. Bu, API anahtarları, ödeme ağ geçitleri için genel/özel anahtarlar ve daha fazlasını özel mağaza yapılandırmanıza bağlı olarak içerebilir." Dedi.
"Diğer WooCommerce tüccarlarını destekleyen veya geliştiren herkesi bu bilgileri paylaşmaya ve WooCommerce ödemeleri olan müşterilerinin WooCommerce ödemelerinin en güncel sürümünü kullanmalarını sağlamaya teşvik ediyoruz."
Bu WordPress eklentisi 500.000'den fazla aktif kuruluma sahiptir ve mağaza müşterilerine yapılandırılması kolay ve ödeme ödeme işlemini yönetmek için kullanılabilir.
Bilgisayar korsanları kredi kartı çalmacılarını ödeme işleme modüllerine enjekte edin
Cisco, EOL yönlendiricilerinde kamuya açık istismar ile auth bypass hatasını uyarıyor
Bu eklenti anlaşmasıyla WordPress sitenize chatgpt ekleyin
Microsoft, Windows 10'daki Flash Player'ı kaldırmak için son planı açıklıyor
RCE saldırılarına maruz kalan 19.000'den fazla yaşam sonu Cisco yönlendiricisi
Kaynak: Bleeping Computer