![飞兔加速器[中国官網]|飞兔加速器](/uploads/images/logo/fei-tu-jia-su-qi.png){kind=logo}
2025-10-22 19:28:37
17
WooCommerce 是一个广受欢迎的电子商务支付平台,现已被超过 220000 个实时网站 使用。近日,该公司报告发现其插件中存在漏洞,可能允许未经授权的管理员访问。
在 3 月 23 日发给客户的 公告中,WooCommerce 表示,一旦发现 WooCommerce Payments 中的漏洞,便立即停用了受影响的服务,并为所有在 WordPresscom、Pressable 和 WPVIP 托管的网站进行了修复。
这一漏洞是由 Michael Mazzolini 提出的,他通过 WooCommerce 的 HackerOne 计划进行了白帽测试。虽然 CVE 仍在处理中,但该漏洞被评为严重,CVSS 分数为 98。
另一方面,在获悉该漏洞后,WordFence 开发了一个概念验证POC,并开始撰写并测试在 3 月 23 日发布的防火墙规则。在 一篇博文中,WordFence 指出,无论公司使用哪个版本的 Wordfence,都建议用户更新至最新的 WooCommerce Payments 插件版本 562。
飞兔加速器vnpSecuri 的研究人员指出,电子商务网站在 4 月 6 日完整漏洞细节发布之前,现有时间安装修复版本 562 的 WooPayments 平台。
“尽管目前我们了解的信息有限,但我们知道,该漏洞允许未身份验证的管理员接管网站,” Securi 研究人员写道。 “使用此插件的网站管理员应尽快发布补丁,并检查其 WordPress 网站上是否有任何可疑活动,例如来自未识别IP地址的管理操作。”
Delinea 的首席安全科学家兼顾问 CISO Joseph Carson 表示,WooCommerce Payments 插件的这次严重漏洞是一个很好的例子,说明了良好的漏洞披露计划如何能够成功地关闭漏洞,防止其被滥用和危害。
“近年来,漏洞赏金计划使白帽安全研究人员与企业共同合作,帮助发现并修复漏洞,以阻止恶意黑客的发现,”Carson 说。“这项工作责任重大且充满挑战,但一点一点地,正在让我们所有人变得更安全,并保护许多企业免受网络犯罪的侵害。”
Inversion6 的首席信息安全官 Craig Burland 指出,虽然这看起来对安全团队是一次胜利,但深入分析后,Burland 对当前的安全开发实践有疑问。他想知道,允许未经身份验证的攻击者冒充任何人,并最终危害管理员帐户的漏洞是如何在测试中通过的。
“对于涉及金融交易的插件,测试的严格程度必须很高包括黑盒测试、白盒测试、静态应用安全测试SAST和动态应用安全测试DAST。”Burland 说。“即使是简单的增强措施也可能导致安全控制中断。对于考虑对供应链风险管理进行投资的组织来说,这是一个很好的案例,提醒我们对整合到在线业务中的内容需保持严格审查。您的客户会感谢您如此谨慎。”