Nesen tas tika atklāts 13. gada 2021. jūlijā a kritiskā ievainojamība in WooCommerce un spraudnis WooCommerce bloki (WooCommerce konstatēta kritiskā ievainojamība), kas varētu ietekmēt miljoniem tiešsaistes veikalu no visas pasaules, kas tika uzbūvēti uz šīs platformas.
Paziņojumu oficiālajā emuārā veica WooCommerce (Automatic) darbinieki, un, kā parasti, dati par neaizsargātiem failiem netika iesniegti. Ir viegli redzēt, kur tik un tā ir veiktas koda izmaiņas, salīdzinot neaizsargātās versijas ar tām, kas atjauninātas pirms dažām stundām, kurās ir fiksēti drošības ielāpi.
Izmantojot šo ievainojamību, uzbrucējs var pārņemt pilnīgi visu tiešsaistes veikala saturu, tostarp šeit: klientu personas dati, pasūtījuma detaļas, pārdošanas atskaites si pasūtījuma statuss, informācijas un administratīvās privilēģijas interneta veikala. Praktiski visi WooCommerce dati, kuriem "Shop Manager" ir piekļuve.
Kādas WooCommerce versijas ietekmē šī kritiskā ievainojamība?
Visas versijas WooCommerce un WooCommerce bloki no 3.3 līdz 5.5. Tas ir, milzīgs versiju skaits, un no šīs ievainojamības neattiecas tiešsaistes veikali, kas ir atjauninājuši WooCommerce.
Mēs iesakām steidzams WooCommerce jaunākās versijas atjauninājums (5.5.1), un, ja izmantojat vecāku versiju, WooCommerce katram ir izveidojis īpašu fiksētu plāksteri. Tādā veidā jūs nebūsiet spiests veikt nozīmīgu WooCommerce jaunināšanu, ja jums pašlaik nav nepieciešamā laika un resursu.
Piemēram, ja jums ir tiešsaistes veikals, kurā esat instalējis WooCommerce 3.4.x, drošības atjauninājums ir WooCommerce 3.4.8. Pāreja uz WooCommerce 5.5.1 nav obligāta, taču ļoti ieteicams to paturēt prātā tuvākajā nākotnē.
Visas versijas ar fiksēts drošības plāksteris var manuāli lejupielādēt un atjaunināt no WooCommerce Core / izlaidumi. Atjauninātās versijas ir datētas "2021-07-14".
Atjauninājumu var veikt arī no Mans Profils → plugins → WooCommerce → Updatevai automātiska atjaunināšana, ja WordPress ir iestatīta šī opcija.
Mēs ceram, ka drošības pārkāpums tika savlaicīgi atklāts un ka vairums tiešsaistes veikalu vadītāju veic veikalu atjaunināšanu.
WooCommerce atklāta kritiskā ievainojamība - izmeklēšana joprojām turpinās. Pašlaik nav zināms, kāda ir šīs ievainojamības ietekme un vai plākstera labojums varētu kaut ko negatīvi ietekmēt.
