Si disponéis de una tienda online desarrollada con WooCommerce, esto os interesa. Y es que esta mañana hemos conocido una vulnerabilidad crítica en el plugin que permite a los propietarios de tiendas de WooCommerce aceptar pagos con tarjeta de crédito y débito y administrar transacciones dentro del panel de control de WordPress. El plugin es WooCommerce Payments, seguro que a más de uno os suena ya que está activo en más de 500.000 sitios web. Esta vulnerabilidad omite la autenticación y los privilegios del usuario y según CVSS lo ha puntuado con un 9,8, por lo que es más que crítica.
Ha sido la propia Beau Lebens, ingeniera jefe de WooCommerce, la que ha informado sobre la gravedad de esta vulnerabilidad. En concreto fue descubierto por un investigador de seguridad de WooCommerce que participaba en el programa HackerOne. Según palabras de Lebens, este fallo de seguridad: «Puede permitir el acceso de administradores no autorizados a las tiendas afectadas en el caso de explotarse«.
El equipo de WooCommerce ha trabajado a marchas forzadas para desarrollar una actualización que corrija esta vulnerabilidad. Este problema afecta a los plugins de WooCommerce Payments, desde la versión 4.8.0 hasta la 5.6.1. Así que, para corregirlo lo único que hay que hacer es actualizar el propio plugin a la última versión.
Desde aquí os hemos advertido sobre los peligros de tener las actualizaciones automáticas desactivadas para evitar posibles problemas. Si has seguido nuestros consejos, tendrás que entrar en el backoffice de tu tienda online desarrollada con WordPress y WooCommerce y actualizar a mano el plugin WooCommerce Payments. En el caso de que las tengas activadas, seguramente ya se habrá actualizado solo. Repito, es de vital importancia corregir este problema cuanto antes, Si no sabéis como hacerlo, contactad con vuestros desarrolladores de confianza para que lo pongan en práctica.
Destacar que en los sitios web alojados en WordPress.com, Pressable y WPVIP, este asunto ya ha sido corregido. Por lo que si tu tienda online está en alguno de estos servicios, no tienes por qué preocuparte.
Desde el equipo de WooCommerce se explica que no tienen constancia de que este fallo de seguridad haya sido explotado a día de hoy. Aún así recomiendan que los propietarios de los sitios webs revisen en el listado de usuarios administradores inesperados o posts que no tengas constancia de haber publicado o tú o tus editores.
En el caso de que haya ocurrido, recomiendan:
- Eliminar aquellos usuarios administradores sospechosos
- Modificar las contraseñas de los usuarios administradores de la web
- Modificar las contraseñas API de WooCommerce y Payment Gateway utilizadas en tu web
Como medida de precaución, WooCommerce ha deshabilitado temporalmente el programa beta de WooPay ya que la vulnerabilidad afecta a este nuevo servicio de pago que han estado probando en versión beta.
