WordPressコンテンツ管理システムの背後にある会社であるAutomatticは、オンラインストアで非常に人気のあるWooCommerce Paymentsを実行している数十万のWebサイトにセキュリティアップデートを強制的にインストールしています.
このパッチは、認証されていない攻撃者が脆弱なストアへの管理者アクセスを取得できる重大な脆弱性に対処します。
この欠陥は、GoldNetwork の Michael Mazzolini によって報告されたもので、WooCommerce Payments 4.8.0 以降に影響します。
WordFence は、認証されていない攻撃者がバグを悪用して「管理者になりすまして、ユーザーの操作やソーシャル エンジニアリングを必要とせずに Web サイトを完全に乗っ取る」ことができると述べていますが、Patchstack は、「この脆弱性は認証を必要としないため、大規模な攻撃になる可能性が非常に高い」と警告しています。すぐに悪用される。」
WooCommerce チームは、 本日以前に発行されたセキュリティ アップデートでパッチを適用しましたが、この重大なバグが標的にされたり、実際に悪用されたりしているという証拠は見つかっていないと述べています。
「現時点では、脆弱性が悪用されたという証拠はありませんが、独自のセキュリティ テスト プログラムで特定することはできません。この脆弱性の結果として、店舗や顧客のデータが侵害されたとは考えていません」と、Beau Lebens 氏は述べています。ウーコマース。
「影響を受けたサービスを直ちに無効にし、WordPress.com、Pressable、および WPVIP でホストされているすべての Web サイトの問題を軽減しました。」
一部の脆弱なサイトへのセキュリティ更新プログラムのロールアウト
WordPress.com でホストされている脆弱な WooCommerce オンライン ショップは、更新中か、脆弱性にパッチを適用するために既に更新されています。
「私たちは修正を出荷し、WordPress.org プラグイン チームと協力して、WooCommerce Payments 4.8.0 から 5.6.1 を実行しているサイトをパッチ適用済みバージョンに自動更新しました。現在、更新はできるだけ多くのストアに自動的に展開されています」と Lebens 氏は述べています。追加した。
独自のサーバーで WordPress インストールをホストしている管理者は、次の手順を使用して WooCommerce を手動で更新する必要があります。
- WP 管理ダッシュボードから、 [プラグイン]メニュー項目をクリックし、プラグインのリストでWooCommerce Paymentsを探します。
- バージョン番号は、プラグイン名の横にある[説明]列に表示されます。この番号が以下にリストされているパッチ適用済みバージョンのいずれかと一致する場合、これ以上のアクションは必要ありません。
- 新しいバージョンをダウンロードできる場合は、 WooCommerce Payments を更新するよう案内する通知が表示されます — 先に進んで更新してください。
パッチが適用された WooCommerce Payments バージョン: 4.8.2、4.9.1、5.0.4、5.1.3、5.2.2、5.3.1、5.4.1、5.5.2、および 5.6.2。
侵害の兆候を確認する
ストアを保護した後、管理者は、新しく追加された管理者ユーザー、および Web サイトに追加された疑わしい投稿を確認することをお勧めします。
予期しないアクティビティの証拠が見つかった場合は、すぐにすべての管理者パスワードを更新し、支払いゲートウェイと WooCommerce API キーをローテーションする必要があります。
「WordPress/WooCommerceデータベースに保存されているプライベートまたはシークレットデータを変更することもお勧めします.これには、特定のストア構成に応じて、APIキー、支払いゲートウェイの公開/秘密キーなどが含まれる場合があります.
「他の WooCommerce マーチャントをサポートまたは開発するすべての人に、この情報を共有し、WooCommerce Payments がインストールされているクライアントが最新バージョンの WooCommerce Payments を使用していることを確認することをお勧めします。」
この WordPress プラグインには 500,000 を超えるアクティブなインストールがあり、ストアの顧客に支払いチェックアウトの設定と管理を簡単に提供するために使用できます。
Comments