Наскоро беше открито, на 13 юли 2021 г., о критична уязвимост в WooCommerce да плъгин WooCommerce блокове (Открита е критична уязвимост в WooCommerce), което може да повлияе милиони онлайн магазини от цял ​​свят, които са изградени на тази платформа.

Съобщението беше направено от персонала на WooCommerce (Automatic) в официалния блог и както обикновено не бяха предоставени данни за уязвимите файлове. Така или иначе е лесно да се види къде са направени промени в кода, като се сравнят уязвимите версии с тези, актуализирани преди няколко часа, които съдържат фиксирана корекция за сигурност.

Използвайки тази уязвимост, нападателят може да завладее абсолютно цялото съдържание на онлайн магазина, включително тук: лични данни на клиенти, подробности за поръчката, отчети за продажбите and състояние на поръчката, информационни и административни привилегии на онлайн магазина. По принцип всички данни на WooCommerce, до които има достъп “Управител на магазин”.

Кои версии на WooCommerce са засегнати от тази критична уязвимост?

Всички версии на WooCommerce ако WooCommerce блокира от 3.3, ако pana от 5.5. Това означава огромен брой версии и онлайн магазините, които са актуализирали WooCommerce, също не са освободени от тази уязвимост.

Препоръчва се спешен ъпдейт до последната версия на WooCommerce (5.5.1), а ако използвате по-стара версия, WooCommerce е създал специална корекция за всяка от тях. По този начин няма да бъдете принудени да правите основен ъпгрейд на WooCommerce, ако нямате време и ресурси в момента.

• Разберете дали имейл адресът и паролата са били компрометирани / откраднати [Firefox Monitor]
• Нова критична уязвимост в Internet Explorer излага Windows системите на риск
• Друга уязвимост, открита в Java
• WooCommerce 30+ вариация не работи [как да се поправя]

Например, ако имате онлайн магазин, на който сте инсталирали WooCommerce 3.4.x, актуализацията на защитата е WooCommerce 3.4.8. Не е задължително да преминете към WooCommerce 5.5.1, но е силно препоръчително да имате това предвид в близко бъдеще.

Всички версии с фиксирана корекция за сигурност може да се изтегли и актуализира ръчно от WooCommerce Core / Издания. Актуализираните версии са тези с дата “2021-07-14“.

Актуализацията може да се извърши и от Табло за управление → Приставки → WooCommerce → Актуализация, или автоматична актуализация, ако сте задали тази опция в WordPress.

Надяваме се, че пробивът в сигурността е открит навреме и че повечето администратори на онлайн магазини са в процес на актуализиране на своите магазини.

Открита е критична уязвимост в WooCommerce – разследването все още продължава. В момента не е известно въздействието на тази уязвимост, нито дали корекцията на корекцията може да повлияе на нещо по негативен начин.