Critical WooCommerce Payments Plugin Flaw Patched for 500,000+ WordPress Sites
2023/03/24 TheHackerNews — WordPress のプラグインであり、50万以上の Web サイトにインストールされている WooCommerce Payments に影響を及ぼす、深刻なセキュリティ欠陥に対するパッチがリリースされた。この欠陥を放置すると、脆弱なオンラインショップに対して、脅威アクターによる不正なアクセスが可能になると、2023年3月23日のアドバイザリで同社は発表している。この問題は、バージョン 4.8.0〜5.6.1 に影響を及ぼすという。
WordPress のセキュリティ会社である Wordfence は、「認証されていない攻撃者が管理者になりすまし、ユーザーとの対話やソーシャルエンジニアリングを必要とせずに、Web サイトを完全に乗っ取ることが可能になる」と述べている。
この脆弱性は、”class-platform-checkout-session.php” という PHP ファイルに存在するようだと、Sucuri の研究者である Ben Martin は指摘している。なお、この脆弱性を発見/報告したのは、スイスのペンテスト会社である GoldNetwork の Michael Mazzolini である。
また、WooCommerce は、WordPress と連携することで、影響を受けるバージョンを使用しているサイトを、自動更新しているとも述べている。今回い、パッチが適用されたバージョンは、4.8.2/4.9.1/5.0.4/5.1.3/5.2.2/5.3.1/5.4.1/5.5.2/5.6.2 である。
さらに、この Eコマース・プラグインのメンテナンス担当者は、セキュリティ上の欠陥が決済サービスに影響を与える可能性があることを懸念し、WooPay ベータ・プログラムを無効にしていると述べている。
Wordfence の研究者である Ram Gall は、この脆弱性が積極的に悪用されたという証拠はないが、PoC エクスプロイトが提供されると、大規模な武器化が展開されると予想している。
それぞれのユーザーは、最新バージョンにアップデートすることが必須となる。それに加えて、新たに追加された管理者ユーザーの有無を確認し、疑わしい管理者が発見された場合には、すべての管理者パスワードを変更し、決済ゲートウェイと WooCommerce API キーをローテーションすることが推奨される。
このインシデントの詳細については、2023/03/22 の「WordPress 上の eコマース侵害:決済の瞬間を狙ってクレカ情報を盗み出す手口とは?」を、ご参照ください。その攻撃手法は、サイトの決済ゲートウェイ・モジュールに対して、ダイレクトに悪意のスクリプトを注入するというものです。よろしければ、eCommerce で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.