Home Sociedad WordPress fuerza el parcheo del plugin WooCommerce con 500K instalaciones

WordPress fuerza el parcheo del plugin WooCommerce con 500K instalaciones

Automattic, la empresa detrás del sistema de gestión de contenidos WordPress, está instalando a la fuerza una actualización de seguridad en cientos de miles de sitios web que ejecutan el muy popular WooCommerce Payments para tiendas online.

El parche soluciona una vulnerabilidad crítica que puede permitir a atacantes no autentificados obtener acceso de administrador a tiendas vulnerables.

Este fallo fue reportado por Michael Mazzolini de GoldNetwork, y afecta a WooCommerce Payments 4.8.0 y superiores.

WordFence dice que los atacantes no autenticados pueden explotar el fallo para “hacerse pasar por un administrador y tomar completamente el control de un sitio web sin ninguna interacción del usuario o ingeniería social requerida”, mientras que Patchstack advierte que, dado que “esta vulnerabilidad no requiere autenticación, es muy probable que sea explotada en masa muy pronto.”

El equipo de WooCommerce lo parcheó en las actualizaciones de seguridad publicadas hoy temprano y dice que no ha encontrado ninguna evidencia de que este error crítico esté siendo atacado o explotado en la naturaleza.

“En este momento no tenemos evidencia de que la vulnerabilidad haya sido explotada más allá de identificarla en nuestro propio programa de pruebas de seguridad. No creemos que los datos de ninguna tienda o cliente se hayan visto comprometidos como resultado de esta vulnerabilidad”, dijo Beau Lebens, Jefe de Ingeniería de WooCommerce.

“Inmediatamente desactivamos los servicios afectados y mitigamos el problema para todos los sitios web alojados en WordPress.com, Pressable y WPVIP”.

Este plugin de WordPress cuenta con más de 500.000 instalaciones activas y se puede utilizar para ofrecer a los clientes de las tiendas un proceso de pago fácil de configurar y gestionar.