Das WooCommerce Payments-Plugin für WordPress, das auf über 500.000 Websites installiert ist, hat eine kritische Sicherheitslücke, für die Patches veröffentlicht wurden. Wenn diese Lücke nicht behoben wird, könnte es einem Angreifer ermöglichen, unbefugten Administratorzugriff auf betroffene Stores zu erhalten, wie das Unternehmen in einem Advisory vom 23. März 2023 mitteilte. Betroffen sind die Versionen 4.8.0 bis 5.6.1.
Die Entdeckung und Meldung der Schwachstelle wird Michael Mazzolini vom Schweizer Unternehmen für Penetrationstests GoldNetwork zugeschrieben. Automattic – das Unternehmen hinter WordPress und WooCommerce – veröffentlicht automatische / erzwungene Updates für alle Websites, die dieses Plugin verwenden.
Neben der Aktualisierung auf die neueste Version wird Benutzern empfohlen, nach neu hinzugefügten Administratorbenutzern zu suchen und in diesem Fall alle Administratorkennwörter zu ändern und Zahlungsgateway- und WooCommerce-API-Schlüssel zu rotieren.
Es ist wichtig, dass alle Nutzer des WooCommerce Payments-Plugins für WordPress ihre Systeme sofort auf den neuesten Stand bringen und die zusätzlichen Schritte durchführen, um sicherzustellen, dass ihre Websites sicher sind. Angreifer können die Sicherheitslücke ausnutzen, um Kontrolle über eine Website zu übernehmen, einschließlich Zugriff auf alle gespeicherten Daten wie Zahlungsinformationen und persönliche Daten von Kunden.
