Automattic, kompanija koja stoji iza WordPressa, objavila je bezbjednosno ažuriranje za popularni WooCommerce Payments dodatak za WordPress, koji je instaliran na više od pola miliona veb sajtova.

Zakrpa rješava problem sa kritičnom ranjivošću koja omogućava napadačima da bez autentifikacije dobiju administratorski pristup ranjivim sajtovima.

Grešku je otkrio Majkl Macolini iz GoldNetworka, a ona utiče na verzije WooCommerce Payments od 4.8.0 do 5.6.1.

Greška bi mogla da omogući "neautorizovanom napadaču da se lažno predstavlja kao administrator i potpuno preuzme veb sajt bez potrebe za bilo kakvom interakcijom sa korisnikom ili društvenim inženjeringom", rekli su iz Wordfencea, kompanije za zaštitu WordPressa. 

Pošto eksploatacija ne zahtijeva autentifikaciju, vrlo je vjerovatno da će ona veoma brzo biti masovna.

WooCommerce kaže da nije pronađen nijedan dokaz da je ova kritična greška eksploatisana u napadima, i da ne vjeruje da su podaci o bilo kojoj online prodavnici ili klijentima kompromitovani kao rezultat ove ranjivosti.

"Poslali smo ispravku i radili sa timom za dodatke WordPressa na automatskom ažuriranju sajtova koji koriste WooCommerce Payments 4.8.0 do 5.6.1 na zakrpljene verzije. Ažuriranje se trenutno automatski uvodi u što je moguće više online prodavnica", rekli su iz WooCommercea.

Zakrpljene verzije uključuju 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 i 5.6.2.