Aggiornamenti recenti Luglio 10th, 2025 2:02 PM
Mar 28, 2023 Dario Orlandi News, RSS, Vulnerabilità 0
Automattic, l’azienda che sviluppa il CMS WordPress, ha emesso un aggiornamento di sicurezza riguardante centinaia di migliaia di siti web che utilizzano il diffusissimo plug-in di pagamento WooCommerce per i negozi online, che vanta oltre mezzo milione di installazioni attive.
La patch risolve una vulnerabilità critica che potrebbe consentire agli aggressori di ottenere l’accesso amministrativo agli store vulnerabili senza autenticazione. Il difetto è stato segnalato da Michael Mazzolini di GoldNetwork e colpisce WooCommerce Payments 4.8.0 e le versioni successive.
Secondo l’analisi di WordFence, gli aggressori non autenticati possono sfruttare il bug per fingersi amministratori e prendere il completo controllo di un sito web senza alcuna interazione da parte dell’utente e senza implementare tattiche di ingegneria sociale.
Patchstack ritiene il problema molto preoccupante, perché questa vulnerabilità non richiede autenticazione; è quindi molto probabile che presto sarà sfruttata massicciamente.
Il team di WooCommerce ha rilasciato un aggiornamento di sicurezza che corregge il problema e afferma di non aver trovato alcuna prova che questa grave falla sia stata presa di mira o sfruttata in the wild.
Beau Lebens, Head of Engineering di WooCommerce
Beau Lebens, Head of Engineering di WooCommerce, ha dichiarato “Al momento non abbiamo prove che la vulnerabilità sia stata sfruttata al di fuori del nostro programma di test di sicurezza. Non crediamo che i dati degli store o dei clienti siano stati compromessi a causa di questa vulnerabilità”.
“Abbiamo immediatamente disattivato i servizi interessati e mitigato il problema per tutti i siti Web ospitati su WordPress.com, Pressable e WPVIP”, ha proseguito Lebens.
“Abbiamo fornito una correzione e lavorato con il team di WordPress.org Plugins per aggiornare automaticamente i siti che eseguono WooCommerce Payments con versioni comprese tra la 4.8.0 e la 5.6.1. L’aggiornamento è attualmente in fase di applicazioni automatica per il maggior numero possibile di negozi”, ha concluso Lebens.
Gli amministratori che ospitano un’installazione di WordPress sui propri server dovranno invece aggiornare manualmente WooCommerce; la procedura è quella consueta: dalla dashboard di amministrazione di WP, fare clic su Plugin e cercare WooCommerce Payments nell’elenco.
Se il sistema segnala una nuova versione disponibile per il download, bisognerebbe scaricarla e installarla immediatamente utilizzando la funzione di upgrade integrata.
Dopo aver messo al sicuro i siti, si consiglia di verificare la presenza di nuovi utenti amministratori e post sospetti aggiunti di recente.
Se si trovassero prove di attività inattese, è opportuno aggiornare immediatamente tutte le password di amministratore e generare nuove chiavi API per i servivi eventualmente collegati.
Giu 30, 2025 0
Giu 27, 2025 0
Giu 19, 2025 0
Giu 18, 2025 0
Lug 10, 2025 0
Lug 09, 2025 0
Lug 08, 2025 0
Lug 07, 2025 0
Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 10, 2025 0
Un nuovo gruppo APT entra nei radar dei ricercatori di...Lug 09, 2025 0
Un gruppo di cybercriminali ha rubato circa 140 milioni...Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 07, 2025 0
Da giovedì scorso Ingram Micro sta soffrendo per via di...Lug 07, 2025 0
Nella settimana appena trascorsa, il CERT-AGID ha...