Основы Интернет - технологий.

Компания Automattic, стоящая за разработкой CMS WordPress, принудительно устанавливает обновления на сотни тысяч сайтов, где работает популярная платежная система WooCommerce Payments для интернет-магазинов. Патч устраняет критическую уязвимость, которая позволяет неаутентифицированным злоумышленникам получить административный доступ к уязвимым ресурсам. Уязвимость была обнаружена экспертам из компании GoldNetwork, и сообщается, что она влияет на WooCommerce Payments версии 4.8.0 и выше. WordFence предупреждает, что неаутентифицированные злоумышленники могут использовать эту проблему, чтобы «выдать себя за администратора и полностью захватить сайт без какого-либо взаимодействия с пользователем или социальной инженерии». Так как эксплуатация бага не требует аутентификации, весьма вероятно, что скоро атаки на эту уязвимость станут массовыми. Команда WooCommerce исправила баг в обновлениях, выпущенных 23 марта, и сообщает, что пока не обнаружила никаких признаков того, что критическая ошибка уже используется хакерами. «Мы немедленно деактивировали затронутые сервисы и устранили проблему для всех сайтов, размещенных на WordPress.com, Pressable и WPVIP», — сообщают в WooCommerce. В настоящее время уязвимые интернет-магазины, размещенные на WordPress.com, находятся в процессе обновления или уже получили патчи. «Мы подготовили исправление и совместно с командой плагинов WordPress.org работали над автоматическим обновлением сайтов, использующих WooCommerce Payments версий с 4.8.0 по 5.6.1. В настоящее время обновление автоматически распространяется на максимально возможное количество магазинов», — говорят разработчики. Администраторам, которые размещают WordPress на собственных серверах, придется обновить WooCommerce вручную. Исправленные версии WooCommerce Payments: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 и 5.6.2. Кроме того, после обновления рекомендуется проверить сайт на наличие признаков возможной компрометации: новых добавленных пользователей-администраторов и подозрительные сообщения. «Мы рекомендуем изменить любые личные и секретные данные, хранящиеся в вашей базе данных WordPress/WooCommerce. Это могут быть ключи API, приватные или публичные ключи для платежных шлюзов и многое другое, в зависимости от конфигурации вашего магазина», — рекомендуют авторы WooCommerce.