WordPress принудительно обновляет плагин WooCommerce Payments
Компания Automattic, стоящая за разработкой CMS WordPress, принудительно устанавливает обновления на сотни тысяч сайтов, где работает популярная платежная система WooCommerce Payments для интернет-магазинов.
Патч устраняет критическую уязвимость, которая позволяет неаутентифицированным злоумышленникам получить административный доступ к уязвимым ресурсам.
Уязвимость была обнаружена экспертам из компании GoldNetwork, и сообщается, что она влияет на WooCommerce Payments версии 4.8.0 и выше.
WordFence предупреждает, что неаутентифицированные злоумышленники могут использовать эту проблему, чтобы «выдать себя за администратора и полностью захватить сайт без какого-либо взаимодействия с пользователем или социальной инженерии». Так как эксплуатация бага не требует аутентификации, весьма вероятно, что скоро атаки на эту уязвимость станут массовыми.
Команда WooCommerce исправила баг в обновлениях, выпущенных 23 марта, и сообщает, что пока не обнаружила никаких признаков того, что критическая ошибка уже используется хакерами.