Vulnerabilitate critica descoperita in WooCommerce – Milioane de magazine online ar putea fi compromise

S-a descoperit recent, pe 13 iulie 2021, o vulnerabilitate critica in WooCommerce si plugin WooCommerce Blocks (Critical Vulnerability Detected in WooCommerce) care ar putea afecta milioane de magazine online din intreaga lume, care au fost construite pe aceasta platforma.

Anuntul a fost facut de staff-ul WooCommerce (Automatic) pe blogul oficial, iar asa cum era si normal nu s-au oferit date despre fisirele vulnerabile. Este oricum usor de vazut unde s-au facut modificari de cod, comparand versiunile vulnerabile cu cele actualizate in urma cu cateva ore, care contin patch fix de securitate.

Exploatand aceasta vulnerabilitate atacatorul poate prelua absolut tot continutul magazinului online, incluzand aici: datele personale ale clientilor, detaliile comenzilor, rapoarte de vanzari si statusul comenzii, informatii si privilegii administrative ale magazinului online. Practic toate datele WooCommerce la care are acces “Shop Manager”.

Ce versiuni de WooCommerce sunt afectate de aceasta vulnerabilitate critica?

Toate versiunile de WooCommerce si WooCommerce Blocks de la 3.3 si pana la 5.5. Adica un numar imens de versiuni, iar scutite de aceasta vulnerabilitate nu sunt nici magazinele online care au WooCommerce actualizat la zi.

Se recomanda update-ul urgent la cea mai recenta versiune de WooCommerce (5.5.1), iar daca folositi o versiune mai veche, cei de la WooCommerce au creat patch fix special pentru fiecare. In acest fel nu veti fi obligat sa faceti un upgrade major de WooCommerce daca nu aveti timpul si resursele necesare in acest moment.


De exemplu, daca aveti un magazin online pe care aveti instalat WooCommerce 3.4.x, update-ul de securitate este WooCommerce 3.4.8. Nu este obligatoriu sa treceti la WooCommerce 5.5.1, insa este foarte indicat ca in viitorul apropiat sa aveti acest lucru in vedere.

Toate versiunile cu patch fix de securitate pot fi descarcate si actualizate manual de pe WooCommerce Core / Releases. Versiunile actualizate sunt cele cu data “2021-07-14“.

Update-ul se poate face si din DashboardPluginsWooCommerceUpdate, sau update automatic daca aveti setata aceasta optiune in WordPress.

Speram ca bresa de securiate a fost descoperita la timp si ca majoritatea administatorilor de magazine online sunt pe faza sa faca actualizarile magazinelor.

Critical Vulnerability Detected in WooCommerce – investigatia este inca in desfasurare. In momentul de fata nu se stie impactul acestei vulnerabilitati si nici daca patch fix-ul ar putea sa afecteze ceva in mod negativ.

Pasionat de tehnologie, imi place sa testez si sa scriu tutoriale despre sistemele de operare macOS, Linux, Windows, despre WordPress, WooCommerce si configurare servere web LEMP (Linux, NGINX, MySQL si PHP). Scriu pe StealthSettings.com din 2006, iar cativa ani mai tarziu am inceput sa scriu pe iHowTo.Tips tutoriale si noutati despre device-uri din ecosistemul Apple: iPhone, iPad, Apple Watch, HomePod, iMac, MacBook, AirPods si accesorii.

Leave a Comment