Il servizio di sicurezza della Woocommerce il plugin pi\u00f9 usato per WordPress per creare ecommerce ha pubblicato una nota stampa per avvisare della presenza di un grave bug nel servizio. Lo riportiamo tradotto in italiano per agevolare gli utenti.
<\/p>\n\n\n\n
Il 22 marzo 2023 \u00e8 stata scoperta una vulnerabilit\u00e0 all’interno di WooCommerce Payments che, se sfruttata, poteva permettere un accesso amministrativo non autorizzato ai negozi interessati. Abbiamo immediatamente disattivato i servizi interessati e risolto il problema per tutti i siti web ospitati su WordPress.com, Pressable e WPVIP.<\/em><\/p>\n\n\n\n La vulnerabilit\u00e0 \u00e8 stata segnalata da Michael Mazzolini di GoldNetwork, che stava effettuando test white-hat per noi tramite il nostro programma HackerOne. Non appena la vulnerabilit\u00e0 \u00e8 stata segnalata, abbiamo avviato un’indagine per verificare se erano stati esposti dati o se la vulnerabilit\u00e0 fosse stata sfruttata. Attualmente non abbiamo evidenze che la vulnerabilit\u00e0 sia stata utilizzata al di fuori del nostro programma di test di sicurezza. Abbiamo rilasciato una correzione e collaborato con il team dei plugin di WordPress.org per aggiornare automaticamente i siti che utilizzano WooCommerce Payments dalla versione 4.8.0 alla 5.6.1 alle versioni corrette. L’aggiornamento viene attualmente distribuito automaticamente il pi\u00f9 possibile ai negozi.<\/em><\/p>\n\n\n\n Poich\u00e9 questa vulnerabilit\u00e0 aveva anche il potenziale di influire su WooPay, un nuovo servizio di checkout di pagamento in fase beta, abbiamo temporaneamente disabilitato il programma beta.<\/em><\/p>\n\n\n\n Il comunicato continua<\/p>\n\n\n\n Tutti i siti web che hanno installato e attivato WooCommerce Payments 4.8.0 o versioni successive e che non sono ospitati su WordPress.com e che non hanno ancora effettuato l’aggiornamento alla versione corretta (vedi sotto), sono ancora potenzialmente vulnerabili a questo problema. Ecco come assicurarsi di avere l’ultima versione:<\/em><\/p>\n\n\n\n Dalla dashboard WP Admin, fare clic sul menu Plugin e cercare WooCommerce Payments nell’elenco dei plugin. Il numero di versione dovrebbe essere visualizzato nella colonna Descrizione accanto al nome del plugin. Se questo numero corrisponde a una delle versioni corrette elencate di seguito, non \u00e8 necessaria ulteriore azione. Se \u00e8 disponibile una nuova versione per il download, dovresti vedere una notifica che ti guida nell’aggiornamento di WooCommerce Payments – si prega di procedere con l’aggiornamento. Una volta che si sta utilizzando una versione sicura, si consiglia di verificare la presenza di eventuali utenti o post amministrativi non attesi sul sito. Se si riscontrano evidenze di attivit\u00e0 impreviste, si suggerisce di<\/em>:<\/p>\n\n\n\n Aggiornare le password per tutti gli utenti Admin del sito<\/strong>, specialmente se riutilizzano le stesse password su pi\u00f9 siti web. Aggiornare le chiavi di pagamento del gateway e delle API di WooCommerce utilizzate sul sito. Ecco come aggiornare le chiavi delle API di WooCommerce<\/a>. Per reimpostare altre chiavi, si prega di consultare la documentazione di quei plugin o servizi specifici. <\/em><\/p>\n\n\n\n Come faccio a sapere se la mia versione \u00e8 aggiornata?<\/strong> Di seguito \u00e8 possibile trovare l’elenco completo delle versioni corrette di WooCommerce Payments. Se si sta utilizzando una versione di WooCommerce Payments che non \u00e8 in questo elenco, si prega di aggiornare immediatamente ad una di queste versioni.<\/em><\/p>\n\n\n\n I miei dati sono stati compromessi?<\/strong>Patched WooCommerce Payments Versions<\/strong><\/td><\/tr> 4.8.2<\/td><\/tr> 4.9.1<\/td><\/tr> 5.0.4<\/td><\/tr> 5.1.3<\/td><\/tr> 5.2.2<\/td><\/tr> 5.3.1<\/td><\/tr> 5.4.1<\/td><\/tr> 5.5.2<\/td><\/tr> 5.6.2<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Al momento non abbiamo alcuna prova che la vulnerabilit\u00e0 sia stata sfruttata oltre a identificarla nel nostro programma di test di sicurezza. Continueremo a indagare e se scopriremo nuove informazioni aggiorneremo questo post.<\/em><\/p>\n\n\n\n