WooCommerce Payments是一个允许WooCommerce店主接受信用卡和借记卡付款并在WordPress仪表板内管理交易的插件,它修补了一个认证绕过和特权升级漏洞,CVSS评分为9.8(关键性)。该插件活跃在50多万个网站上。
WooCommerce的工程主管Beau Lebens今天发布了一份关于该漏洞的公告,他说如果被利用,”可能允许未经授权的管理员访问受影响的商店”。它是由参加WooCommerce的HackerOne计划的安全研究人员发现的。
WooCommerce与WordPress.org合作,为运行WooCommerce Payments 4.8.0至5.6.1版本的网站推送了强制更新,以修补版本。许多店主都关闭了自动更新,以确保在更新前进行适当的测试。现在漏洞已经公开,所有运行4.8.0以上版本插件的商店必须尽快手动更新。托管在WordPress.com、Pressable和WPVIP上的WooCommerce网站已经打了补丁。
目前,WooCommerce没有任何证据表明该漏洞被利用,但该插件的工程师建议检查是否有任何意外的管理员用户或帖子添加到网站。该公告包括如果你认为你的网站已经受到影响,该怎么做的进一步细节。作为一项警告措施,WooCommerce已经暂时关闭了WooPay测试项目,因为该漏洞影响了他们一直在测试的新结账服务。
© 版权声明
THE END
暂无评论内容