Il a été récemment découvert, le 13 juillet 2021, o vulnérabilité critique dans WooCommerce oui plugin Blocs WooCommerce (Vulnérabilité critique détectée dans WooCommerce) qui pourrait affecter des millions de boutiques en ligne du monde entier, qui ont été construits sur cette plateforme.

L'annonce a été faite par l'équipe de WooCommerce (Automatic) sur le blog officiel et, comme d'habitude, aucune donnée n'a été fournie sur les fichiers vulnérables. Il est de toute façon facile de voir où les modifications du code ont été apportées, en comparant les versions vulnérables avec celles mises à jour il y a quelques heures, qui contiennent un correctif de sécurité corrigé.

En exploitant cette vulnérabilité, l'attaquant peut s'emparer d'absolument tout le contenu de la boutique en ligne, y compris ici : données personnelles des clients, détails de la commande, rapports de ventes et statut de la commande, informations et privilèges administratifs de la boutique en ligne. Fondamentalement, toutes les données WooCommerce auxquelles il a accès “Responsable de boutique”.

Quelles versions de WooCommerce sont affectées par cette vulnérabilité critique ?

Toutes les versions de WooCommerce si WooCommerce Blocks de la 3.3 si pana la 5.5. Cela signifie qu’un grand nombre de versions et les boutiques en ligne qui ont mis à jour WooCommerce ne sont pas non plus exemptées de cette vulnérabilité.

Il est recommandé mise à jour urgente vers la dernière version de WooCommerce (5.5.1), et si vous utilisez une ancienne version, WooCommerce a créé un correctif spécial pour chacune. De cette façon, vous ne serez pas obligé de faire une mise à niveau majeure de WooCommerce si vous n'avez pas le temps et les ressources pour le moment.

• Découvrez si l'adresse e-mail et le mot de passe ont été compromis / volés [Firefox Monitor]
• Une nouvelle vulnérabilité critique à Internet Explorer met en danger les systèmes Windows
• Une autre vulnérabilité découverte en Java
• Variation WooCommerce 30+ ne fonctionne pas [comment réparer]

Par exemple, si vous disposez d'une boutique en ligne sur laquelle vous avez installé WooCommerce 3.4.x, la mise à jour de sécurité est WooCommerce 3.4.8. Il n’est pas obligatoire de passer à WooCommerce 5.5.1, mais il est fortement recommandé de garder cela à l’esprit dans un futur proche.

Toutes les versions avec correctif de sécurité corrigé peut être téléchargé et mis à jour manuellement à partir de WooCommerce Core / Versions. Les versions mises à jour sont celles avec la date “2021-07-14“.

La mise à jour peut également être effectuée à partir de Tableau de bord → Plugins → WooCommerce → Mise à jour, ou mise à jour automatique si vous avez défini cette option dans WordPress.

Nous espérons que la faille de sécurité a été découverte à temps et que la plupart des administrateurs de boutiques en ligne sont en train de mettre à jour leurs boutiques.

Vulnérabilité critique détectée dans WooCommerce – l'enquête est toujours en cours. Pour le moment, l'impact de cette vulnérabilité n'est pas connu, ni si le correctif pourrait affecter quoi que ce soit de manière négative.