500.000’den Fazla WordPress Sitesi İçin Kritik WooCommerce Ödeme Eklentisi Kusuru Düzeltildi


24 Mart 2023Ravie LakshmananWeb Güvenliği / WordPress

Wordpress WooCommerce

500.000’den fazla web sitesinde yüklü olan WordPress için WooCommerce Payments eklentisini etkileyen kritik bir güvenlik açığı için yamalar yayınlandı.

Şirket, 23 Mart 2023 tarihli bir danışma belgesinde, kusurun çözülmeden bırakılması halinde kötü bir kişinin etkilenen mağazalara yetkisiz yönetici erişimi elde etmesine olanak tanıyabileceğini söyledi.

WordPress güvenlik şirketi Wordfence, başka bir deyişle, sorunun “kimliği doğrulanmamış bir saldırganın bir yöneticinin kimliğine bürünmesine ve herhangi bir kullanıcı etkileşimi veya sosyal mühendislik gerektirmeden bir web sitesini tamamen ele geçirmesine” izin verebileceğini söyledi.

Sucuri araştırmacısı Ben Martin, güvenlik açığının “class-platform-checkout-session.php” adlı bir PHP dosyasında bulunduğunu belirtti.

Güvenlik açığını keşfeden ve bildiren kişi, İsviçre sızma testi şirketi GoldNetwork’ten Michael Mazzolini’dir.

WooCommerce ayrıca, yazılımın etkilenen sürümlerini kullanarak siteleri otomatik güncellemek için WordPress ile çalıştığını söyledi. Yamalı sürümler 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 ve 5.6.2’yi içerir.

WEBİNAR

Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin

Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.

KOLTUĞUNUZU AYIRTIN

Ayrıca, e-ticaret eklentisinin sahipleri, güvenlik kusurunun ödeme kontrol hizmetini etkileme potansiyeline sahip olduğu endişeleri nedeniyle WooPay beta programını devre dışı bıraktığını belirtti.

Wordfence araştırmacısı Ram Gall, güvenlik açığının bugüne kadar aktif olarak kullanıldığına dair bir kanıt yok, ancak bir kavram kanıtı elde edildiğinde büyük ölçekte silah haline getirilmesinin beklendiği konusunda uyardı.

En son sürüme güncellemenin yanı sıra, kullanıcıların yeni eklenen yönetici kullanıcıları kontrol etmeleri ve öyleyse tüm yönetici şifrelerini değiştirmeleri ve ödeme ağ geçidi ile WooCommerce API anahtarlarını döndürmeleri önerilir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link