Foram lançados patches para uma falha crítica de segurança que afeta o plug-in WooCommerce Payments para WordPress, que está instalado em mais de 500.000 sites.

A falha, se não for corrigida, pode permitir que um invasor obtenha acesso de administrador não autorizado ao sistema, disse a empresa em um comunicado em 23 de março de 2023.

Ela afeta as versões 4.8.0 a 5.6.1. Em outras palavras, o problema pode permitir que um “atacante não autenticado se faça passar por um administrador e assuma completamente um site sem qualquer interação do usuário ou engenharia social necessária”, disse a empresa de segurança WordPress Wordfence.

Não há evidências de que a vulnerabilidade tenha sido explorada ativamente até o momento, mas espera-se que seja armada em larga escala assim que uma prova de conceito estiver disponível.

Além de atualizar para a versão mais recente, recomenda-se que os usuários verifiquem os usuários administrativos recém-adicionados e, em caso afirmativo, alterem todas as senhas do administrador e alternem o gateway de pagamento e as chaves da API WooCommerce.