WordPressで50万インストールされているオンラインストア向け「WooCommerce Payments」プラグインに、認証されていない攻撃者が脆弱な店舗への管理者アクセス権を得ることができる重大な脆弱性が発覚したことを Bleeping Computer が報じています。
既にコンテンツ管理システム「WordPress」を運営するAutomattic社は、「WooCommerce Payments」を運用している数十万件のウェブサイトに対して、セキュリティアップデートの強制インストールを開始しているとの事。
この脆弱性はGoldNetworkのMichael Mazzolini氏によって報告されたもので、WooCommerce Payments 4.8.0以降に影響があります。
現時点ではこの脆弱性が悪用された証拠はありませんが、今回発覚した脆弱性には認証が不要であり、すぐに大量展開される可能性が非常に高いと予想されています。
悪用されるとウェブサイトを完全に乗っ取られる可能性もあるので、現在「WooCommerce Payments」プラグインを利用しているユーザーは、早急にアップデートが適用されているか確認しておくことを強く推奨いたします。
WooCommerce Paymentsを手動でアップデートする手順
WordPress.comでホストされているWooCommerceオンラインショップでは、「WooCommerce Payments 4.8.0 から 5.6.1」を実行しているサイトに対してパッチ付きバージョンに自動更新されています。
ただし、自分のサーバーでWordPressのインストールをホストしている管理者の場合は、以下の手順でWooCommerceプラグインを手動でアップデートする必要があります。
- ダッシュボードで、「プラグイン」メニュー項目をクリックし、プラグインリストで「WooCommerce Payments」を探します。
- バージョン番号は、プラグイン名の横にある説明欄に表示されているはずです。この番号が以下のパッチ適用済みバージョンのいずれかと一致する場合、それ以上の処置は必要ありません。
- 新しいバージョンがダウンロード可能な場合、「WooCommerce Payments」をアップデートするよう案内が表示されるはずですので、アップデートしてください。
参考:プラグインのアップデート表示例
プラグインアップデート後は疑わしい挙動がないか確認を
「WooCommerce Payments」プラグインをアップデートした後、念のためにウェブサイトに疑わしい挙動がないか確認しておきましょう。
チェック項目の一例:
- 新たに追加された管理者ユーザーはないか?(ダッシュボード>ユーザー一覧)
- ウェブサイトに追加された疑わしい投稿はないか?
- ウェブページを実際に表示し、怪しい広告が表示されていないか?またクリックした際に正しいページに遷移するか?
もしも予期せぬ挙動が見つかった場合は、直ちにすべての管理者パスワードを更新し、Payment GatewayとWooCommerceのAPIキーも更新してください。
コメント