流行的WooCommerce WordPress插件修补了关键漏洞

如果你拥有一个建立在WordPress通过WooCommerce插件，然后小心一个新的漏洞，它可能会危害你的在线商店。

RIPS Technologies GmbH的研究员西蒙·斯坎内尔（Simon Scannell）在流行软件中发现了一个任意文件删除漏洞WooCommerce插件这可能会让恶意或受损害的特权用户获得对未修补网站的完全控制。

WooCommerce是WordPress最受欢迎的电子商务插件之一，帮助网站将其标准博客升级为强大的在线商店。WooCommerce为互联网上近35%的电子商店供电，安装了400多万台。

利用WooCommerce文件删除和WordPress设计缺陷

以下视频中演示的攻击利用了WordPress处理用户权限和WooCommerce文件删除漏洞的方式，允许具有“Shop Manager”角色的帐户最终重置管理员帐户的密码，并完全控制网站。
安装后，WooCommerce extension会创建具有“编辑用户”功能的“商店经理”帐户，允许他们编辑商店的客户帐户，以便管理他们的订单、配置文件和产品。

在WordPress中，默认情况下具有“编辑用户”功能的帐户甚至可以编辑管理员帐户并重置其密码。但是为了在管理员和商店经理帐户之间划出一条基于权限的界限，WooCommerce插件对商店经理增加了一些额外的限制。
然而，研究人员发现，如果WordPress admin出于某种原因禁用WooCommerce插件，其强制限制的配置就会消失，允许Shop Manager帐户编辑和重置管理员帐户的密码。

西蒙说，现在，恶意商店经理可以利用WooCommerce日志功能中的文件删除漏洞，强制禁用WooCommerce插件。

西蒙在一篇博客文章中解释说：“这个漏洞允许商店经理删除服务器上任何可写的文件。通过删除WooCommerce的主文件WooCommerce.php，WordPress将无法加载插件，然后将其禁用”。

一旦文件被删除，WooCommerce插件将被禁用，允许商店经理更新管理员帐户的密码，然后接管整个网站。

安装WooCommerce和WordPress补丁更新

研究人员于2018年8月30日通过Hackerone向Automatic安全团队报告了安全问题，后者负责管理WooCommerce插件。该团队承认了这些缺陷，并于上月在Woocommerce 3.4.6版中修复了它们。

如果您尚未更新WordPress和Woocommerce，强烈建议您尽快安装最新的可用安全更新。