WooCommerce Payments patched kritische Schwachstelle, die eine Übernahme der Site ermöglichen würde: schnell handeln ist Trumpf

tarifa

Lieutenant
Registriert
März 2020
Beiträge
617
....jetzt, da die Schwachstelle öffentlich gemacht wurde, ist es zwingend erforderlich, dass alle Stores, auf denen Version 4.8.0+ des Plugins ausgeführt wird, so schnell wie möglich manuell aktualisiert werden. WooCommerce-Sites, die auf WordPress.com, Pressable und WPVIP gehostet werden, wurden bereits gepatched.

btw: ist ein posting über ne kritische Schwachstelle - u. ich bin nicht 100% sicher ob hier das der richtige Ort ist, also das korrekte Subforum auf Computerbase und die korrekte Gattung(news, posting etc) - aber besser hier bekanntmachen als gar nicht...- oder zu spät..

in einer aktuellen Beitrag auf WPTavern.com wurde über den Patch berichtet: Sarah schreibt (Zitat): WooCommerce Payments, ein Plugin, das es Besitzern von WooCommerce-Shops ermöglicht, Kredit- und Debitkartenzahlungen zu akzeptieren und Transaktionen im WordPress-Dashboard zu verwalten, hat eine Schwachstelle in der Authentifizierungsumgehung und Privilegienausweitung mit einem CVSS-Wert von 9,8 (kritisch) gepatched

Das Plugin ist auf mehr als 500.000 Websites aktiv.

Beau Lebens, Head of Engineering bei WooCommerce, hat heute einen Hinweis zu der Schwachstelle veröffentlicht, die seiner Meinung nach „unbefugten Administratoren den Zugriff auf betroffene Geschäfte ermöglichen könnte“, wenn sie ausgenutzt wird. Es wurde von einem Sicherheitsforscher entdeckt, der am HackerOne-Programm von WooCommerce teilnimmt.

WooCommerce hat mit WordPress.org zusammengearbeitet, um ein erzwungenes Update für Websites mit den WooCommerce Payments-Versionen 4.8.0 bis 5.6.1 auf gepatchte Versionen herauszubringen. Viele Shop-besitzer haben automatische Updates deaktiviert, um sicherzustellen, dass sie vor dem Update ordnungsgemäß getestet werden. Jetzt, da die Schwachstelle öffentlich gemacht wurde, ist es zwingend erforderlich, dass alle Stores, auf denen Version 4.8.0+ des Plugins ausgeführt wird, so schnell wie möglich manuell aktualisiert werden. WooCommerce-Sites, die auf WordPress.com, Pressable und WPVIP gehostet werden, wurden bereits gepatched.


mehr Daten, Infos und Links zu Quellen:

der aktuelle Artikel: https://wptavern.com/woocommerce-pay...-site-takeover

das plugin https://wordpress.org/plugins/woocommerce-payments/

die advisory: Critical Vulnerability Patched in WooCommerce Payments – What You Need to Know
https://developer.woocommerce.com/2...n-woocommerce-payments-what-you-need-to-know/
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Brati23 und Xpect
Zurück
Oben