M谩s

    Vulnerabilidad del complemento de pagos de WordPress WooCommerce

    - Advertisement -

    Automattic, los editores del complemento WooCommerce, anunciaron el descubrimiento y el parche de una vulnerabilidad cr铆tica en el complemento WooCommerce Payments.

    La vulnerabilidad permite que un atacante obtenga credenciales de nivel de administrador y realice una toma de control completa del sitio.

    El administrador es el rol de usuario de permiso m谩s alto en WordPress, otorgando acceso completo a un sitio de WordPress con la capacidad de crear m谩s cuentas de nivel de administrador, as铆 como la capacidad de eliminar todo el sitio web.

    Lo que hace que esta vulnerabilidad en particular sea motivo de gran preocupaci贸n es que est谩 disponible para atacantes no autenticados, lo que significa que no tienen que adquirir primero otro permiso para manipular el sitio y obtener la funci贸n de usuario de nivel de administrador.

    Creador de complementos de seguridad de WordPress Wordfence describi贸 esta vulnerabilidad:

    鈥淒espu茅s de revisar la actualizaci贸n, determinamos que elimin贸 el c贸digo vulnerable que podr铆a permitir que un atacante no autenticado se haga pasar por un administrador y se apodere por completo de un sitio web sin necesidad de interacci贸n del usuario o ingenier铆a social鈥.

    La plataforma de seguridad del sitio web de Sucuri public贸 una advertencia sobre la vulnerabilidad que entra en m谩s detalles.

    Sucuri explica que la vulnerabilidad parece estar en el siguiente archivo:

    鉂 Tambi茅n te interesa:馃摲 Como desvanecer imagenes al pasar el mouse en WordPress simpleC贸mo desvanecer im谩genes al pasar el mouse en WordPress (simple y f谩cil)
    /wp-content/plugins/woocommerce-payments/includes/platform-checkout/class-platform-checkout-session.php

    Tambi茅n explicaron que el 鈥渁rreglo鈥 implementado por Automattic es eliminar el archivo.

    Sucuri observa:

    芦Seg煤n el historial de cambios del complemento, parece que el archivo y su funcionalidad simplemente se eliminaron por completo…禄

    El sitio web de WooCommerce public贸 un aviso que explica por qu茅 opt贸 por eliminar por completo el archivo afectado:

    鈥淒ebido a que esta vulnerabilidad tambi茅n ten铆a el potencial de afectar a WooPay, un nuevo servicio de verificaci贸n de pagos en pruebas beta, hemos desactivado temporalmente el programa beta鈥.

    La vulnerabilidad del complemento de pago de WooCommerce fue descubierta el 22 de marzo de 2023 por un investigador de seguridad externo que notific贸 a Automattic.

    Automattic r谩pidamente emiti贸 un parche.

    Los detalles de la vulnerabilidad se dar谩n a conocer el 6 de abril de 2023.

    鉂 Tambi茅n te interesa:馃摲 Como proteger con contrasena su directorio de administracion de WordPressC贸mo proteger con contrase帽a su directorio de administraci贸n de WordPress (wp-admin)

    Eso significa que cualquier sitio que no haya actualizado este complemento se volver谩 vulnerable.

    Qu茅 versi贸n del complemento de pagos de WooCommerce es vulnerable

    WooCommerce actualiz贸 el complemento a la versi贸n 5.6.2. Esta se considera la versi贸n m谩s actualizada y no vulnerable del sitio web.

    Automattic ha enviado una actualizaci贸n forzada; sin embargo, es posible que algunos sitios no la hayan recibido.

    Se recomienda que todos los usuarios del complemento afectado verifiquen que sus instalaciones est茅n actualizadas a la versi贸n WooCommerce Payments Plugin 5.6.2

    Una vez que se corrige la vulnerabilidad, WooCommerce recomienda realizar las siguientes acciones:

    鈥淯na vez que est茅 ejecutando una versi贸n segura, le recomendamos que verifique si hay usuarios administradores inesperados o publicaciones en su sitio. Si encuentra alguna evidencia de actividad inesperada, le sugerimos:

    Actualizar las contrase帽as de los usuarios administradores de su sitio, especialmente si reutilizan las mismas contrase帽as en varios sitios web.

    Rotaci贸n de las claves API de WooCommerce y Payment Gateway utilizadas en su sitio. Aqu铆 le mostramos c贸mo actualizar sus claves API de WooCommerce. Para restablecer otras claves, consulte la documentaci贸n de esos complementos o servicios espec铆ficos鈥.

    鉂 Tambi茅n te interesa:馃摲 Como usar fuentes de iconos en el editor de publicacionesC贸mo usar fuentes de iconos en el editor de publicaciones de WordPress (sin c贸digo)

    Lea el explicador de vulnerabilidades de WooCommerce:

    Vulnerabilidad cr铆tica parcheada en los pagos de WooCommerce: lo que necesita saber

    Fuente: Vulnerabilidad del complemento de pagos de WordPress WooCommerce

    Populares

    M谩s de esta categor铆a

    DEJA UNA RESPUESTA

    Por favor ingrese su comentario!
    Por favor ingrese su nombre aqu铆

    Este sitio usa Akismet para reducir el spam. Aprende c贸mo se procesan los datos de tus comentarios.