Clicky

Parcheada falla crítica de plugin de pagos de WooCommerce para más de 500.000 sitios de WordPress

Categoría: Seguridad
Read Time: 1 min
Visto: 158
Falla Woocommerce

Un atacante no autenticado podría pasar por un administrador y apoderarse por completo de un sitio web

Se han lanzado parches para una falla de seguridad crítica que afecta el complemento WooCommerce Payments para WordPress, que está instalado en más de 500.000 sitios web.

La falla, si no se resuelve, podría permitir que un mal actor obtenga acceso de administrador no autorizado a las tiendas afectadas, dijo la compañía en un aviso el 23 de marzo de 2023. Afecta a las versiones 4.8.0 a 5.6.1.

Dicho de otra manera, el problema podría permitir que un "atacante no autenticado se haga pasar por un administrador y se apodere por completo de un sitio web sin necesidad de interacción del usuario o ingeniería social", dijo la empresa de seguridad de WordPress, Wordfence.

La vulnerabilidad parece residir en un archivo PHP llamado "class-platform-checkout-session.php", señaló el investigador de Sucuri, Ben Martin.

Michael Mazzolini, de la compañía suiza de pruebas de penetración GoldNetwork, tiene el crédito de descubrir y reportar la vulnerabilidad.

WooCommerce también dijo que trabajaba con WordPress para actualizar automáticamente los sitios usando las versiones afectadas del software. Las versiones parcheadas incluyen 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 y 5.6.2.

Además, los mantenedores del plugin de comercio electrónico notaron que está deshabilitando el programa beta de WooPay debido a la preocupación de que el defecto de seguridad tenga el potencial de afectar el servicio de pago.

No hay evidencia de que la vulnerabilidad haya sido explotada activamente hasta la fecha, pero se espera que se convierta en un arma a gran escala una vez que esté disponible una prueba de concepto, advirtió el investigador de Wordfence, Ram Gall.

Además de actualizar a la última versión, se recomienda a los usuarios que busquen usuarios administradores recién agregados y, de ser así, cambien todas las contraseñas de administrador y roten las claves de la API de WooCommerce y la pasarela de pago.

Jesús Cáceres's Avatar

Jesús Cáceres