El 22 de marzo de 2023, se descubrió una vulnerabilidad en el plugin WooCommerce Payments que, de explotarse, podría permitir el acceso de administradores no autorizados a las tiendas afectadas.
La vulnerabilidad fue informada por Michael Mazzolini de GoldNetwork , quien estaba realizando pruebas white hat para Automattic a través del programa HackerOne. Tan pronto como se informó la vulnerabilidad, comenzaron una investigación para determinar si se había expuesto algún dato o si se había explotado la vulnerabilidad.
Actualmente no hay evidencia de que la vulnerabilidad se esté utilizando fuera del propio programa de pruebas de seguridad. Desde la empresa enviaron una solución y aún están trabajando con el equipo de plugins de WordPress.org para actualizar automáticamente los sitios que ejecutan WooCommerce Payments 4.8.0 a 5.6.1 a versiones parcheadas. Actualmente, la actualización se está implementando automáticamente en tantas tiendas como sea posible.
Debido a que esta vulnerabilidad también tenía el potencial de afectar a WooPay , un nuevo servicio de verificación de pagos en prueba beta, que han deshabilitado temporalmente.
Índice de contenidos
Tengo WooCommerce Payments instalado. ¿Qué acciones debo tomar?
Si tu web está alojada en WordPress.com, tu tienda está en proceso de actualización o ya se ha actualizado para eliminar la vulnerabilidad. Inmediatamente desde Automattic desactivaron los servicios afectados y se mitigó el problema para todas las webs alojadas en WordPress.com, Pressable y WPVIP, pero si usas el plugin en tu propio alojamiento, si usas WordPress.org, hay algunos pasos que debes realizar.
Todos los sitios web con WC Pay 4.8.0 y superior instalado y activado en su sitio, que no están alojados en WordPress.com y que no se han actualizado a una versión parcheada (ver más abajo), aún son potencialmente vulnerables a este problema. Aquí tienes la lista de cómo asegurarte de tener la última versión:
- Desde su panel de administración de WP haz clic en el elemento del menú Plugins y busque WooCommerce Paymentes en tu lista de plugins.
- El número de versión debe mostrarse en la columna Descripción junto al nombre del plugin. Si este número coincide con cualquiera de las versiones parcheadas que se enumeran a continuación, no se necesita ninguna otra acción .
- Si hay una nueva versión disponible para descargar, deberías ver un aviso que lo guíe para actualizar WooCommerce Payments ; hazle caso y actualiza.
Una vez que estés ejecutando una versión segura, debes verificar si hay usuarios administradores o publicaciones inesperadas en tu sitio. Si encuentras alguna evidencia de actividad inesperada deberías:
- Actualizar las contraseñas de los usuarios administradores de tu sitio, especialmente si reutilizan las mismas contraseñas en varias webs.
- Cambiar las claves API de WooCommerce y Payment Gateway utilizadas en tu sitio. Aquí tienes una guía de cómo actualizar tus claves API de WooCommerce. Para restablecer otras claves, consulta la documentación de estos plugins o servicios específicos.
¿Cómo sé si mi versión está actualizada?
A continuación tienes la lista completa de versiones parcheadas de WooCommerce Payments. Si estás ejecutando una versión de WooCommerce Payments que no está en esta lista, actualiza a una de estas versiones de inmediato.
| Versiones de WooCommerce Payments parcheadas |
| 4.8.2 |
| 4.9.1 |
| 5.0.4 |
| 5.1.3 |
| 5.2.2 |
| 5.3.1 |
| 5.4.1 |
| 5.5.2 |
| 5.6.2 |
¿Mis datos han sido comprometidos?
En este momento no hay evidencia de que la vulnerabilidad haya sido explotada más allá de identificarla en el programa interno de pruebas de seguridad. Se sigue investigando y, si se descubre alguna información nueva el equipo de Automattic se ha comprometido a informar en este enlace.
¿Qué contraseñas necesito cambiar?
Es poco probable que tus contraseñas se hayan visto comprometidas ya que tienen un hash .
Las contraseñas de usuario de WordPress se cifran con salts, lo que significa que el valor de hash resultante es muy difícil de descifrar. Este enfoque de hash salt protege tus contraseñas como usuario administrador y también las contraseñas de cualquier otro usuario en tu sitio, incluidos los clientes.
Si bien es posible que se haya accedido a la versión hash de tus contraseñas almacenadas en tu base de datos a través de esta vulnerabilidad, el valor hash debe ser imperceptible y aún así proteger tus contraseñas de cualquier uso no autorizado.
Si alguno de los usuarios administradores de tu sitio pudo haber reutilizado las mismas contraseñas en varios sitios web, te recomendamos que actualices esas contraseñas en caso de que sus credenciales se hayan visto comprometidas en otro lugar.
También recomendamos cambiar cualquier dato privado o secreto almacenado en tu base de datos de WordPress/WooCommerce. Esto puede incluir claves API, claves públicas/privadas para pasarelas de pago y más, según la configuración particular de tu tienda. Aquí tienes una guía de cómo actualizar tu clave API de WooCommerce. Para restablecer otras claves, consulta la documentación de cada plugin.
Soy un proveedor de servicios, un desarrollador o una agencia. ¿Debo alertar a mis usuarios de WooCommerce?
Cualquier persona que apoye o desarrolle para otros usuarios de WooCommerce debería compartir esta información y asegurarse de que sus clientes que tienen instalado WooCommerce Payments estén usando la versión más actualizada de WooCommerce Payments.
Soy vendedor ¿Necesito contactar a mis clientes?
No parece ser que ninguna tienda o datos de clientes se hayan visto comprometidos como resultado de esta vulnerabilidad. Si esto cambiase el equipo de Automattic se ha comprometido en avisar de ello a todos los usuarios activos del servicio.
¿Sigue siendo seguro usar WooCommerce?
Sí. La identificación de una nueva vulnerabilidad es poco común, sin embargo, todavía puede surgir a veces. Cuando lo hace, se rastrea y parchea cualquier vulnerabilidad lo más rápido posible, como ha sido este caso. Además, la vulnerabilidad no afecta a WooCommerce, solamente al plugin WooCommerce Payments.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
