Уязвимость в плагине WooCommerce Payments используется для взлома сайтов
Хакеры используют уязвимость в широко распространенном WordPress-плагине
WooCommerce Payments, чтобы получать на уязвимых сайтах привилегии любого пользователя, включая администратора.
WooCommerce Payments — популярный плагин для
WordPress, позволяющий сайтам принимать банковские карты в качестве способа оплаты в магазинах на базе WooCommerce. Согласно официальной статистике, плагин имеет более
600 000 активных установок.
В марте текущего года разработчики выпустили обновленную версию плагина (5.6.2), в которой устранили критическую уязвимость
CVE-2023-28121. Уязвимость затрагивала
WooCommerce Payment версии 4.8.0 и выше и была исправлена в версиях
4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 и 5.6.2.
Поскольку
уязвимость позволяет любому выдать себя за администратора сайта и получить полный контроль над
WordPress, компания
Automattic, стоящая за разработкой CMS, принудительно установила обновления на сотни тысяч сайтов, где работает популярная
платежная система.