顶级网站建设者(在新选项卡中打开)WordPress已经向用户推送了紧急更新,安装了WooCommerce附加组件,以应对高度破坏性的安全漏洞。
GoldNetwork的网络安全研究人员最近发现了一个影响WooCommerce Payments 4.8.0及更高版本的主要缺陷。WooCommerce是一个开源电子商务WordPress插件,旨在为中小型企业提供服务。
WordFence(专注于WordPress的网络安全团队)的研究人员更详细地解释了该漏洞,声称该漏洞允许威胁行为者“冒充管理员并完全接管网站,而无需任何用户交互或社交工程”。
避免了灾难
WooCommerce开发人员现在已经发布了安全更新,好消息(或者现在看起来是这样)是瑞士研究人员是第一个发现该漏洞的人。
“目前,除了在我们自己的安全测试程序中识别该漏洞外,我们没有证据表明该漏洞被利用了。我们不认为任何商店或客户数据会因为这个漏洞而受到损害,“BleepingComputer援引WooCommerce工程主管Beau Lebens的话说。
“我们立即停用了受影响的服务,并缓解了托管在 WordPress.com、Pressable和WPVIP上的所有网站的问题。
如果你有一个带有WooCommerce的WordPress网站,很可能它已经被更新了:“我们发布了一个修复程序,并与 WordPress.org 插件团队合作,将运行WooCommerce Payments 4.8.0到5.6.1的网站自动更新到补丁版本。该更新目前正在自动推广到尽可能多的商店,“Lebens说。
以下是所有易受攻击的WooCommerce Payments版本:.8.2,4.9.1,5.0.4,5.1.3,5.2.2,5.3.1,5.4.1,5.5.2和5.6.2。
如果您的网站仍在运行上述任何版本,则可能仍未更新。要手动执行此操作,请前往您的WP管理仪表板,导航到插件,找到WooCommerce Payments,然后查找有关漏洞的通知以及如何更新的说明。
领取专属 10元无门槛券
私享最新 技术干货