Patch-երը թողարկվել են անվտանգության կարևոր խոցելիության համար, որոնք ազդում է ավելի քան 500,000 կայքերում տեղակայված WordPress-ի համար նախատեսված WooCommerce վճարային հավելվածի վրա:
«Եթե բացթողումներն ու անճշտությունները չշտկվեն, ապա հարձակման հեղինակները հնարավորություն կունենան չարտոնված մուտք գործել տարբեր հարթակներ», – ասվում է ընկերության կողմից 2023 թվականի մարտի 23-ին հրապարակած զեկույցում: Այն ազդում է 4.8.0-ից մինչև 5.6.1 տարբերակների վրա:
Խնդիրը կարող է թույլ տալ «հարձակվողին անձնավորել անմիջապես ադմինիստրատորին և ամբողջությամբ տիրապետել վեբկայքին՝ առանց օգտատիրոջ որևէ փոխազդեցության և համաձայնության», – ասում է Wordfence ընկերությունը:
Օգտագործելով ծրագրաշարի զտված տարբերակները, WooCommerce-ն աշխատում է նաև WordPress-ի հետ, ավտոմատ կերպով թարմացնելով կայքերը: Կիրառվող տարբերակներ են՝ 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 և 5.6.2-ը:
Ոչ մի ապացույց չկա, որ խոցելիությունը մինչ օրս ակտիվորեն շահագործվել է, սակայն չկա երաշխիք դրա հետագա լայնածաված կիրառման համար, զգուշացնում է Wordfence-ի հետազոտող՝ Ռամ Գալը:
Օգտատերերին խորհուրդ է տրվում անցնել վերջին թարմացված տարբերակին, ինչպես նաև ստուգել նոր ավելացված ադմինիստրատորների ցանկը, համաժամանակ փոփոխելով բոլոր ադմինիստրատորների գաղտնաբառերը և WooCommerce API բանալիները:
Աղբյուրը՝ https://thehackernews.com/
