S-a descoperit recent, pe 13 iulie 2021, o vulnerabilitate critica в WooCommerce si plugin WooCommerce Blocks (Critical Vulnerability Detected in WooCommerce) care ar putea afecta milioane de magazine online din intreaga lume, care au fost construite pe aceasta platforma.

Anuntul a fost facut de staff-ul WooCommerce (Automatic) pe blogul oficial, iar asa cum era si normal nu s-au oferit date despre fisirele vulnerabile. Este oricum usor de vazut unde s-au facut modificari de cod, comparand versiunile vulnerabile cu cele actualizate in urma cu cateva ore, care contin patch fix de securitate.

Exploatand aceasta vulnerabilitate atacatorul poate prelua absolut tot continutul magazinului online, incluzand aici: datele personale ale clientilor, detaliile comenzilor, rapoarte de vanzari и statusul comenzii, informatii si privilegii administrative ale magazinului online. Practic toate datele WooCommerce la care are acces “Shop Manager”.

Ce versiuni de WooCommerce sunt afectate de aceasta vulnerabilitate critica?

Toate versiunile de WooCommerce si WooCommerce Blocks de la 3.3 si pana la 5.5. Adica un numar imens de versiuni, iar scutite de aceasta vulnerabilitate nu sunt nici magazinele online care au WooCommerce actualizat la zi.

Se recomanda update-ul urgent la cea mai recenta versiune de WooCommerce (5.5.1), iar daca folositi o versiune mai veche, cei de la WooCommerce au creat patch fix special pentru fiecare. In acest fel nu veti fi obligat sa faceti un upgrade major de WooCommerce daca nu aveti timpul si resursele necesare in acest moment.

• Разберете дали имейл адресът и паролата са били компрометирани / откраднати [Firefox Monitor]
• Нова критична уязвимост в Internet Explorer излага Windows системите на риск
• Друга уязвимост, открита в Java
• WooCommerce 30+ вариация не работи [как да се поправя]

De exemplu, daca aveti un magazin online pe care aveti instalat WooCommerce 3.4.x, update-ul de securitate este WooCommerce 3.4.8. Nu este obligatoriu sa treceti la WooCommerce 5.5.1, insa este foarte indicat ca in viitorul apropiat sa aveti acest lucru in vedere.

Toate versiunile cu patch fix de securitate pot fi descarcate si actualizate manual de pe WooCommerce Core / Releases. Versiunile actualizate sunt cele cu data “2021-07-14“.

Update-ul se poate face si din Табло за управление → Приставки → WooCommerce → Актуализация, sau update automatic daca aveti setata aceasta optiune in WordPress.

Speram ca bresa de securiate a fost descoperita la timp si ca majoritatea administatorilor de magazine online sunt pe faza sa faca actualizarile magazinelor.

Critical Vulnerability Detected in WooCommerce – investigatia este inca in desfasurare. In momentul de fata nu se stie impactul acestei vulnerabilitati si nici daca patch fix-ul ar putea sa afecteze ceva in mod negativ.