WordPress 开源 WooCommerce Payments 插件中的一个严重漏洞可能允许攻击者冒充网站上的任何用户,并可能接管网站管理员帐户。WooCommerce Payments插件由 Automattic 开发,安装在超过 500,000 个网站上,是 WooCommerce 的完全集成支付解决方案,可直接从商店的仪表板提供交易管理。
周四,Automattic 将 WooCommerce Payments 更新至版本 5.6.2,以解决权限升级漏洞,该漏洞可能允许未经身份验证的攻击者获得管理员帐户的控制权并完全接管易受攻击的网站。
“这可能允许恶意用户将其常规访客权限升级为管理员权限,并进一步利用该网站。由于该漏洞不需要身份验证,因此很可能很快就会被大规模利用。” WordPress 安全公司 Patchstack 的 一份报告称。
Defiant 的 Wordfence 团队表示,问题存在于“旨在与 WooCommerce 支付平台集成的功能”中。鉴于该安全缺陷的严重程度被评为“严重”(CVSS 评分为 9.8),因此尚未发布有关该安全缺陷的更多详细信息。
GoldNetwork 的 Michael Mazzolini 报告称,该漏洞可能会影响 WooCommerce 的新 WooPay 支付结帐服务(目前处于 Beta 测试阶段)。测试版程序已暂时禁用。
对于在 WordPress.com 上托管的运行 WooCommerce Payments 4.8.0 至 5.6.1 的网站,正在推出自动更新。使用易受攻击的插件版本的所有其他 WordPress 网站的管理员需要手动更新其安装。
WooCommerce 团队表示:“所有在其网站上安装并激活了 WooCommerce Payments 4.8.0 及更高版本的网站,如果未托管在 WordPress.com 上且未更新到修补版本,则仍然可能容易受到此问题的影响。”
WooCommerce 表示,目前没有证据表明该漏洞在攻击中被利用,或者商店或客户数据可能因此受到损害。