Woocommerce Payments plugin. Vulnerabilità grave

Il servizio di sicurezza della Woocommerce il plugin più usato per WordPress per creare ecommerce ha pubblicato una nota stampa per avvisare della presenza di un grave bug nel servizio. Lo riportiamo tradotto in italiano per agevolare gli utenti.

Il 22 marzo 2023 è stata scoperta una vulnerabilità all’interno di WooCommerce Payments che, se sfruttata, poteva permettere un accesso amministrativo non autorizzato ai negozi interessati. Abbiamo immediatamente disattivato i servizi interessati e risolto il problema per tutti i siti web ospitati su WordPress.com, Pressable e WPVIP.

La vulnerabilità è stata segnalata da Michael Mazzolini di GoldNetwork, che stava effettuando test white-hat per noi tramite il nostro programma HackerOne. Non appena la vulnerabilità è stata segnalata, abbiamo avviato un’indagine per verificare se erano stati esposti dati o se la vulnerabilità fosse stata sfruttata. Attualmente non abbiamo evidenze che la vulnerabilità sia stata utilizzata al di fuori del nostro programma di test di sicurezza. Abbiamo rilasciato una correzione e collaborato con il team dei plugin di WordPress.org per aggiornare automaticamente i siti che utilizzano WooCommerce Payments dalla versione 4.8.0 alla 5.6.1 alle versioni corrette. L’aggiornamento viene attualmente distribuito automaticamente il più possibile ai negozi.

Poiché questa vulnerabilità aveva anche il potenziale di influire su WooPay, un nuovo servizio di checkout di pagamento in fase beta, abbiamo temporaneamente disabilitato il programma beta.

Il comunicato continua

Tutti i siti web che hanno installato e attivato WooCommerce Payments 4.8.0 o versioni successive e che non sono ospitati su WordPress.com e che non hanno ancora effettuato l’aggiornamento alla versione corretta (vedi sotto), sono ancora potenzialmente vulnerabili a questo problema. Ecco come assicurarsi di avere l’ultima versione:

Dalla dashboard WP Admin, fare clic sul menu Plugin e cercare WooCommerce Payments nell’elenco dei plugin. Il numero di versione dovrebbe essere visualizzato nella colonna Descrizione accanto al nome del plugin. Se questo numero corrisponde a una delle versioni corrette elencate di seguito, non è necessaria ulteriore azione. Se è disponibile una nuova versione per il download, dovresti vedere una notifica che ti guida nell’aggiornamento di WooCommerce Payments – si prega di procedere con l’aggiornamento. Una volta che si sta utilizzando una versione sicura, si consiglia di verificare la presenza di eventuali utenti o post amministrativi non attesi sul sito. Se si riscontrano evidenze di attività impreviste, si suggerisce di:

Aggiornare le password per tutti gli utenti Admin del sito, specialmente se riutilizzano le stesse password su più siti web. Aggiornare le chiavi di pagamento del gateway e delle API di WooCommerce utilizzate sul sito. Ecco come aggiornare le chiavi delle API di WooCommerce. Per reimpostare altre chiavi, si prega di consultare la documentazione di quei plugin o servizi specifici.

Come faccio a sapere se la mia versione è aggiornata? Di seguito è possibile trovare l’elenco completo delle versioni corrette di WooCommerce Payments. Se si sta utilizzando una versione di WooCommerce Payments che non è in questo elenco, si prega di aggiornare immediatamente ad una di queste versioni.

Patched WooCommerce Payments Versions
4.8.2
4.9.1
5.0.4
5.1.3
5.2.2
5.3.1
5.4.1
5.5.2
5.6.2

I miei dati sono stati compromessi?
Al momento non abbiamo alcuna prova che la vulnerabilità sia stata sfruttata oltre a identificarla nel nostro programma di test di sicurezza. Continueremo a indagare e se scopriremo nuove informazioni aggiorneremo questo post.

Ti consigliamo inoltre di modificare qualsiasi dato privato o segreto memorizzato nel tuo database WordPress/WooCommerce. Ciò può includere chiavi API, chiavi pubbliche/private per gateway di pagamento e altro, a seconda della configurazione del tuo negozio. Ecco come aggiornare la tua chiave API WooCommerce. Per reimpostare altre chiavi, consultare la documentazione per quei plug-in specifici.  

Se vuoi leggere il messaggio originale, che contiene anche altri link utili, clicca sul link:
https://developer.woocommerce.com/2023/03/23/critical-vulnerability-detected-in-woocommerce-payments-what-you-need-to-know/