WooCommerce: nuova vulnerabilità su un noto strumento

Tra i CMS più utilizzati per lo sviluppo di siti web c’è, come ripetiamo sempre, WordPress, ma per i portali e-commerce è evidente che il plugin WooCommerce sia, insieme a pochi altri, tra i più usati. Come per WordPress, anche per WooCommerce esiste una serie di plugin specializzati che possono semplificare o rendere più lineare l’implementazione di alcune feature ed in questo blog abbiamo spesso condiviso qualche guida al loro utilizzo.

Allo stesso modo, spesso purtroppo ci troviamo a parlare anche delle vulnerabilità che affliggono i plugin presenti nella directory WordPress e che possono mettere in serio pericolo la salute degli stessi siti. In questo breve approfondimento parliamo esattamente di una falla di sicurezza riscontrata su WooCommerce Payments, uno strumento utilizzabile nel proprio portale online per la gestione dei pagamenti dei clienti. Il problema in questo caso è che il plugin in questione, a differenza di molti altri, è sviluppato direttamente dai produttori di WooCommerce.

La vulnerabilità, scoperta durante un’attività di monitoraggio generale richiesta dalla stessa casa produttrice, avrebbe consentito a chi l’ha sfruttata di entrare nel backend dei siti accreditandosi col ruolo di Amministratore prendendo di fatto il controllo del portale. Una volta scoperta la problematica è stata immediatamente diffusa una patch di correzione. Le versioni corrotte sono pertanto quelle che vanno dalla 4.8 alla 5.6.1, ed il noto portale WordFence, che segue da vicino tutte le questioni legate alla sicurezza WordPress, ha assegnato un punteggio di gravità pari a 9.8/10.

Dopo aver aggiornato il plugin WooCommerce Payments alla versione 5.6.2 sarà anche necessario effettuare un controllo di tutto il backend, in special modo della sezione Utenti, per controllare che non ne siano stati creati di nuovi e con alti privilegi. Purtroppo non è ancora chiaro se questa falla di sicurezza abbia avuto effetti negativi su qualche utente, ma sembra che alcuni abbiano dichiarato di aver avuto problemi. Nonostante questo gli sviluppatori di WooCommerce stanno continuando a monitorare il tutto con attenzione. Incidenti come questo dimostrano sempre di più, comunque, quanto sia necessario tenersi informati anche mediante i mezzi di comunicazione ufficiali o specializzati riguardo a tutte le novità riguardanti i prodotti e i servizi che si utilizzano. Leggendo il tweet del canale ufficiale del CMS WooCommerce per esempio sarebbe stato semplice conoscere la problematica in tempo e provvedere all’aggiornamento del plugin.

 

Fonte: 1