Tweet
....jetzt, da die Schwachstelle öffentlich gemacht wurde, ist es zwingend erforderlich, dass alle Stores, auf denen Version 4.8.0+ des Plugins ausgeführt wird, so schnell wie möglich manuell aktualisiert werden. WooCommerce-Sites, die auf WordPress.com, Pressable und WPVIP gehostet werden, wurden bereits gepatched.
in einer aktuellen Beitrag auf WPTavern,com wurde über den Patch berichtet:
Sarah schreibt (Zitat): WooCommerce Payments, ein Plugin, das es Besitzern von WooCommerce-Shops ermöglicht, Kredit- und Debitkartenzahlungen zu akzeptieren und Transaktionen im WordPress-Dashboard zu verwalten, hat eine Schwachstelle in der Authentifizierungsumgehung und Privilegienausweitung mit einem CVSS-Wert von 9,8 (kritisch) gepatched
Das Plugin ist auf mehr als 500.000 Websites aktiv.
Beau Lebens, Head of Engineering bei WooCommerce, hat heute einen Hinweis zu der Schwachstelle veröffentlicht, die seiner Meinung nach „unbefugten Administratoren den Zugriff auf betroffene Geschäfte ermöglichen könnte“, wenn sie ausgenutzt wird. Es wurde von einem Sicherheitsforscher entdeckt, der am HackerOne-Programm von WooCommerce teilnimmt.
WooCommerce hat mit WordPress.org zusammengearbeitet, um ein erzwungenes Update für Websites mit den WooCommerce Payments-Versionen 4.8.0 bis 5.6.1 auf gepatchte Versionen herauszubringen. Viele Shop-besitzer haben automatische Updates deaktiviert, um sicherzustellen, dass sie vor dem Update ordnungsgemäß getestet werden. Jetzt, da die Schwachstelle öffentlich gemacht wurde, ist es zwingend erforderlich, dass alle Stores, auf denen Version 4.8.0+ des Plugins ausgeführt wird, so schnell wie möglich manuell aktualisiert werden. WooCommerce-Sites, die auf WordPress.com, Pressable und WPVIP gehostet werden, wurden bereits gepatched.
Derzeit hat WooCommerce keine Beweise dafür, dass die Schwachstelle ausgenutzt wird, aber die Ingenieure des Plugins empfehlen, nach unerwarteten Admin-Benutzern oder Beiträgen zu suchen, die der Website hinzugefügt wurden. Die Empfehlung enthält weitere Einzelheiten darüber, was zu tun ist, wenn Sie glauben, dass Ihre Website betroffen ist. Als Vorsichtsmaßnahme hat WooCommerce das WooPay-Betaprogramm vorübergehend deaktiviert, da die Schwachstelle diesen neuen Checkout-Service betrifft, den sie in der Betaphase getestet haben." Ende der Nachricht -
mehr Daten, Infos und Links zu Quellen:
der aktuelle Artikel: https://wptavern.com/woocommerce-pay...-site-takeover
das plugin https://wordpress.org/plugins/woocommerce-payments/
die advisory: Critical Vulnerability Patched in WooCommerce Payments – What You Need to Know
https://developer.woocommerce.com/2023/03/23/critical-vulnerability-detected-in-woocommerce-payments-what-you-need-to-know/
in einer aktuellen Beitrag auf WPTavern,com wurde über den Patch berichtet:
Sarah schreibt (Zitat): WooCommerce Payments, ein Plugin, das es Besitzern von WooCommerce-Shops ermöglicht, Kredit- und Debitkartenzahlungen zu akzeptieren und Transaktionen im WordPress-Dashboard zu verwalten, hat eine Schwachstelle in der Authentifizierungsumgehung und Privilegienausweitung mit einem CVSS-Wert von 9,8 (kritisch) gepatched
Das Plugin ist auf mehr als 500.000 Websites aktiv.
Beau Lebens, Head of Engineering bei WooCommerce, hat heute einen Hinweis zu der Schwachstelle veröffentlicht, die seiner Meinung nach „unbefugten Administratoren den Zugriff auf betroffene Geschäfte ermöglichen könnte“, wenn sie ausgenutzt wird. Es wurde von einem Sicherheitsforscher entdeckt, der am HackerOne-Programm von WooCommerce teilnimmt.
WooCommerce hat mit WordPress.org zusammengearbeitet, um ein erzwungenes Update für Websites mit den WooCommerce Payments-Versionen 4.8.0 bis 5.6.1 auf gepatchte Versionen herauszubringen. Viele Shop-besitzer haben automatische Updates deaktiviert, um sicherzustellen, dass sie vor dem Update ordnungsgemäß getestet werden. Jetzt, da die Schwachstelle öffentlich gemacht wurde, ist es zwingend erforderlich, dass alle Stores, auf denen Version 4.8.0+ des Plugins ausgeführt wird, so schnell wie möglich manuell aktualisiert werden. WooCommerce-Sites, die auf WordPress.com, Pressable und WPVIP gehostet werden, wurden bereits gepatched.
Derzeit hat WooCommerce keine Beweise dafür, dass die Schwachstelle ausgenutzt wird, aber die Ingenieure des Plugins empfehlen, nach unerwarteten Admin-Benutzern oder Beiträgen zu suchen, die der Website hinzugefügt wurden. Die Empfehlung enthält weitere Einzelheiten darüber, was zu tun ist, wenn Sie glauben, dass Ihre Website betroffen ist. Als Vorsichtsmaßnahme hat WooCommerce das WooPay-Betaprogramm vorübergehend deaktiviert, da die Schwachstelle diesen neuen Checkout-Service betrifft, den sie in der Betaphase getestet haben." Ende der Nachricht -
mehr Daten, Infos und Links zu Quellen:
der aktuelle Artikel: https://wptavern.com/woocommerce-pay...-site-takeover
das plugin https://wordpress.org/plugins/woocommerce-payments/
die advisory: Critical Vulnerability Patched in WooCommerce Payments – What You Need to Know
https://developer.woocommerce.com/2023/03/23/critical-vulnerability-detected-in-woocommerce-payments-what-you-need-to-know/
...
Kommentar