Falha identificada em popular plugin para WooCommerce no WordPress
Os utilizadores do sistema WooCommerce em sites WordPress devem começar brevemente a receber uma nova atualização de emergência, que se encontra a ser fornecida para um popular plugin existente para esta solução.
A Automattic, empresa por detrás do sistema do WordPress, encontra-se a disponibilizar uma atualização forçada para o plugin WooCommerce Payments, depois de ter sido identificada uma falha de segurança que pode ser usada para obter acesso administrativo aos sites.
A falha foi inicialmente identificada pelo investigador Michael Mazzolini da empresa GoldNetwork, e afeta o plugin WooCommerce Payments 4.8.0 ou mais recente. De acordo com a empresa de segurança WordFence, a falha identificada pode permitir que os atacantes obtenham rapidamente acesso administrativo de um site, caso seja explorada.
Este plugin é bastante usado por plataformas WooCommerce, tendo mais de 500.000 instalações. O mesmo permite ajudar os utilizadores a fornecerem diferentes meios de pagamento para os seus clientes, a partir da plataforma.
Apesar da falha ter sido identificada, os investigadores acreditam que a mesma não se encontra a ser ativamente explorada para ataques. Mas eventualmente, uma vez que agora se torna do conhecimento público, é possível que tal venha a acontecer.
A atualização encontra-se agora a ser fornecida de forma forçada para todos os sites que possuem o plugin, usando o sistema de atualizações do WordPress. As novas versões corrigidas serão a 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2, e 5.6.2.
Apesar de não se acreditar que a falha tenha sido ativamente explorada, os utilizadores que usam este plugin devem verificar a existência de possíveis administradores adicionais criados sobre as suas instalações e que sejam desconhecidos.