WooCommerce, un complemento popular para ejecutar tiendas en línea basadas en WordPress, contiene una vulnerabilidad crítica que podría permitir a los atacantes apoderarse de los sitios web. Los detalles técnicos sobre la vulnerabilidad aún no se han publicado, pero el equipo de WooCommerce ha publicado actualizaciones y los atacantes podrían aplicar ingeniería inversa al parche.
«Si bien lo que sabemos actualmente es limitado, sabemos que la vulnerabilidad permite la toma administrativa no autenticada de sitios web», dijeron investigadores de la firma de seguridad web Sucuri en una publicación de blog. “Se recomienda a los administradores de sitios que usan este complemento que emitan el parche lo antes posible y verifiquen si hay alguna actividad sospechosa en sus sitios de WordPress, como: B. acciones administrativas realizadas por direcciones IP no reconocidas.”
WooCommerce es una plataforma de comercio electrónico de código abierto construida sobre WordPress y con la tecnología de Automattic, la compañía detrás de WordPress. El complemento WooCommerce Payments que contiene la vulnerabilidad actualmente tiene más de 500,000 instalaciones activas.
Los desarrolladores de WooCommerce anunciaron que los sitios web alojados en WordPress.com, Pressable y WPVIP (servicios de alojamiento de WordPress gestionados) se han actualizado automáticamente. Sin embargo, todos los demás sitios web deben aplicar inmediatamente la actualización para su versión respectiva si no tienen habilitadas las actualizaciones automáticas.
La vulnerabilidad afecta a todas las versiones de WooCommerce Payments desde la versión 4.8.0, que se lanzó a fines de septiembre. Automattic ha lanzado las siguientes versiones parcheadas: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 y 5.6.2.
Una vez que WooCommerce se haya actualizado a una versión parcheada, los administradores deben revisar sus sitios en busca de usuarios o publicaciones de administradores inesperados. Si se detecta alguna actividad sospechosa, los desarrolladores de WooCommerce recomiendan cambiar las contraseñas de todos los usuarios administradores del sitio, así como todas las claves API de la pasarela de pago y WooCommerce.
«Las contraseñas de los usuarios de WordPress se codifican con sales, lo que significa que el valor de hash resultante es muy difícil de descifrar», dijeron los desarrolladores de WooCommerce. “Este enfoque de hash salado protege su contraseña como usuario administrador y también las contraseñas de todos los demás en su sitio, incluidos los clientes. Si bien es posible que se haya accedido a la versión hash de su contraseña almacenada en su base de datos a través de esta vulnerabilidad, el hash debería ser indetectable y aún así proteger sus contraseñas del uso no autorizado».
Sin embargo, vale la pena señalar que esto solo se aplica a los hash de contraseña almacenados mediante el mecanismo de autenticación predeterminado de WordPress. Otros complementos pueden usar credenciales, tokens y claves API almacenadas en la base de datos sin hash. Los administradores deben revisar qué secretos pueden tener en su base de datos y rotarlos todos.
«También puede tomar la medida adicional de cambiar las sales en su archivo wp-config.php si desea tomar precauciones adicionales», dijeron los investigadores de Sucuri.
No hay indicios de que se haya explotado la vulnerabilidad de WooCommerce
WooCommerce dijo que no cree que esta vulnerabilidad se haya utilizado para comprometer los datos de la tienda o del cliente, pero es posible que los comerciantes quieran monitorear este incidente a medida que se desarrolla. La vulnerabilidad se informó de forma privada a HackerOne a través del programa de recompensas por errores de Automattic. Aunque los detalles técnicos aún no se han anunciado, según la política de divulgación, probablemente estarán disponibles en dos semanas.
Sin embargo, los investigadores de Sucuri ya han señalado que es probable que la vulnerabilidad se encuentre en un archivo llamado class-platform-checkout-session.php, que parece haber sido eliminado por completo en la versión parcheada. Por lo tanto, es posible que los piratas informáticos experimentados descubran la vulnerabilidad y la exploten ellos mismos, ya que saben dónde buscar.
Históricamente, los sitios web de WordPress han sido un objetivo atractivo para los atacantes, ya que a lo largo de los años se han explotado muchas vulnerabilidades en la propia plataforma, así como sus muchos complementos y temas de terceros.
Derechos de autor © 2023 IDG Communications, Inc.