El mejor creador de sitios web (se abre en una pestaña nueva) WordPress ha enviado una actualización urgente a los usuarios con el complemento WooCommerce instalado en respuesta a una vulnerabilidad de seguridad altamente disruptiva.
Los investigadores de ciberseguridad de GoldNetwork descubrieron recientemente una falla importante que afecta a WooCommerce Payments 4.8.0 y versiones posteriores. WooCommerce es un complemento de WordPress de comercio electrónico de código abierto diseñado para dar servicio a pequeñas y medianas empresas.
Al explicar el error con más detalle, los investigadores de WordFence (un equipo de seguridad cibernética centrado en WordPress) afirman que el error permite a los actores de amenazas «suplantar a un administrador y hacerse cargo por completo de un sitio web sin necesidad de interacción del usuario o ingeniería social».
Desastre evitado
Los desarrolladores de WooCommerce ahora han lanzado una actualización de seguridad, y la buena noticia (o eso parece en este momento) es que los investigadores suizos fueron los primeros en descubrir la falla.
«En este momento no tenemos evidencia de que la vulnerabilidad haya sido explotada más allá de identificarla en nuestro propio programa de pruebas de seguridad. No creemos que ninguna tienda o datos de clientes se hayan visto comprometidos como resultado de esta vulnerabilidad». BleepingEquipo citó a Beau Lebens, jefe de ingeniería de WooCommerce.
«Desactivamos de inmediato los servicios afectados y mitigamos el problema para todos los sitios web alojados en WordPress.com, Pressable y WPVIP».
Si tiene un sitio de WordPress con WooCommerce, es probable que ya se haya actualizado: “Enviamos una solución y trabajamos con el equipo de complementos de WordPress.org para actualizar automáticamente los sitios que ejecutan WooCommerce Payments 4.8.0 a 5.6.1 a versiones parcheadas. Actualmente, la actualización se está implementando automáticamente en tantas tiendas como sea posible», dijo Lebens.
Aquí están todas las versiones vulnerables de WooCommerce Payments: .8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 y 5.6.2.
Si su sitio web aún ejecuta alguna de las versiones mencionadas anteriormente, es probable que aún no se haya actualizado. Para hacerlo manualmente, diríjase a su panel de administración de WP, navegue a Complementos, busque Pagos de WooCommerce y busque una notificación sobre la vulnerabilidad, así como las instrucciones sobre cómo actualizar.
Vía: BleepingComputer (se abre en una pestaña nueva)