WordPress força atualização do plugin WooCommerce com 500 mil instalações
24 de Março de 2023

A empresa por trás do sistema de gerenciamento de conteúdo WordPress, Automattic, está instalando à força uma atualização de segurança em centenas de milhares de websites que usam o WooCommerce Payments, um plugin popular para lojas online.

A atualização corrige uma vulnerabilidade crítica que permite que invasores não autenticados obtenham acesso de administrador em lojas vulneráveis.

Essa falha foi relatada por Michael Mazzolini, da GoldNetwork, e afeta o WooCommerce Payments 4.8.0 e versões superiores.

Especialistas alertam que invasores não autenticados podem explorar a vulnerabilidade para assumir completamente um website, sem interação do usuário.

A equipe do WooCommerce corrigiu a vulnerabilidade em atualizações de segurança emitidas recentemente e afirma que não encontrou evidências de que a falha esteja sendo explorada.

Lojas online vulneráveis estão sendo atualizadas para corrigir a vulnerabilidade.

Administradores que hospedam uma instalação do WordPress em seus próprios servidores devem atualizar manualmente o WooCommerce.

Depois de proteger suas lojas, é recomendável verificar se há novos usuários administradores adicionados e postagens suspeitas.

Se houver evidências de atividade suspeita, é aconselhável atualizar todas as senhas de administrador e as chaves do WooCommerce API e do Payment Gateway.

É recomendável também alterar quaisquer dados privados armazenados no banco de dados do WordPress/WooCommerce, incluindo chaves de API e chaves públicas/privadas para gateways de pagamento, dependendo da configuração da loja.

É importante que todos os usuários do WooCommerce Payments atualizem para a versão mais recente e compartilhem essas informações com seus clientes.

O WooCommerce Payments é um plugin popular com mais de 500.000 instalações ativas que pode ser usado para fornecer aos clientes uma finalização de compra fácil de configurar e gerenciar.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...