WooCommerce Payments是一个允许 WooCommerce 商店所有者接受信用卡和借记卡付款并管理 WordPress 仪表板内交易的插件,它修补了身份验证绕过和特权升级漏洞,其 CVSS 评分为 9.8(严重)。该插件在超过 500,000 个网站上处于活动状态。
WooCommerce 的工程主管 Beau Lebens今天发布了一份关于该漏洞的公告,他说如果被利用,“可能允许未经授权的管理员访问受影响的商店”。它是由参与 WooCommerce 的 HackerOne 计划的安全研究员发现的。
WooCommerce 与 WordPress.org 合作,将运行 WooCommerce Payments 版本 4.8.0 到 5.6.1 的网站强制更新为补丁版本。许多店主关闭了自动更新,以确保在更新前进行适当的测试。既然漏洞已经公开,所有运行4.8.0+版本插件的门店尽快手动更新势在必行。托管在 WordPress.com、Pressable 和 WPVIP 上的 WooCommerce 网站已经被修补。
目前 WooCommerce 没有任何漏洞被利用的证据,但插件的工程师建议检查是否有任何意外的管理员用户或添加到站点的帖子。如果您认为您的网站受到影响,该公告包含进一步的详细信息。作为一项谨慎措施,WooCommerce 暂时禁用了WooPay测试版程序,因为该漏洞会影响他们一直在进行 Beta 测试的这项新结账服务。
