Automattic, uitgever van de WooCommerce-plug-in, heeft de ontdekking en patching van een kritieke kwetsbaarheid in de WooCommerce Payments-plug-in aangekondigd.
Door de kwetsbaarheid kan een aanvaller inloggegevens op beheerdersniveau verkrijgen en een volledige siteovername uitvoeren.
Beheerder is de gebruikersrol met de meeste rechten in WordPress en geeft volledige toegang tot een WordPress-site met de mogelijkheid om meer beheerdersaccounts aan te maken, evenals de mogelijkheid om de hele website te verwijderen.
Wat deze specifieke kwetsbaarheid een grote zorg maakt, is dat deze beschikbaar is voor niet-geverifieerde aanvallers, wat betekent dat ze niet eerst een andere toestemming hoeven te verwerven om de site te manipuleren en een gebruikersrol bij de beheerder te krijgen.
Maker van WordPress-beveiligingsplug-ins Wordfence beschreef deze kwetsbaarheid:
“Na het bekijken van de update hebben we vastgesteld dat deze kwetsbare code verwijderde waardoor een niet-geverifieerde aanvaller zich kon voordoen als een beheerder en een website volledig kon overnemen zonder gebruikersinteractie of social engineering”.
Websitebeveiligingsplatform Sucuri publiceerde een advies over de kwetsbaarheid dat dieper ingaat.
Sucuri legt uit dat de kwetsbaarheid in het volgende bestand lijkt te zitten:
/wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php
Ze legden ook uit dat de “oplossing” die door Automattic is geïmplementeerd, het verwijderen van het bestand is.
Waargenomen sappen:
“Volgens de wijzigingsgeschiedenis van de plug-in lijkt het erop dat het bestand en zijn functionaliteit volledig zijn verwijderd…”
De WooCommerce-website plaatste een bericht waarin werd uitgelegd waarom ze ervoor kozen om het getroffen bestand volledig te verwijderen:
“Omdat deze kwetsbaarheid ook invloed had op WooPay, een nieuwe pay-as-you-go-betalingsservice in bètatests, hebben we het bètaprogramma tijdelijk uitgeschakeld.”
De kwetsbaarheid van de WooCommerce Payment Plugin werd op 22 maart 2023 ontdekt door een externe beveiligingsonderzoeker die Automattic op de hoogte bracht.
Automatic heeft snel een patch uitgegeven.
Details van de kwetsbaarheid worden op 6 april 2023 gepubliceerd.
Dit betekent dat elke site die deze plug-in niet heeft bijgewerkt, kwetsbaar wordt.
Welke versie van de WooCommerce Payments-plug-in is kwetsbaar?
WooCommerce heeft de plug-in bijgewerkt naar versie 5.6.2. Dit wordt beschouwd als de meest actuele en niet-kwetsbare versie van de website.
Automatic heeft een geforceerde update gepusht, maar sommige sites hebben deze mogelijk niet ontvangen.
Het wordt aanbevolen dat alle gebruikers van de betreffende plug-in controleren of hun installaties zijn bijgewerkt naar WooCommerce Payments Plugin versie 5.6.2
Zodra de kwetsbaarheid is gepatcht, raadt WooCommerce aan de volgende acties te ondernemen:
“Zodra u een beveiligde versie gebruikt, raden we u aan uw site te controleren op beheerders of onverwachte berichten. Als u enig bewijs van onverwachte activiteit vindt, raden we u aan:
De wachtwoorden bijwerken van eventuele beheerders op uw site, vooral als ze dezelfde wachtwoorden op meerdere websites hergebruiken.
Rotatie van betalingsgateway en WooCommerce API-sleutels die op uw site worden gebruikt. Hier leest u hoe u uw WooCommerce API-sleutels kunt bijwerken. Raadpleeg de documentatie voor die specifieke plug-ins of services om andere sleutels opnieuw in te stellen.
Lees de uitleg over de kwetsbaarheid van WooCommerce:
WooCommerce Payments heeft een kritieke kwetsbaarheid gepatcht: wat u moet weten
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
