WooCommerce atklāta kritiska ievainojamība - var tikt apdraudēta miljoniem tiešsaistes veikalu

Nesen tas tika atklāts 13. gada 2021. jūlijā a kritiskā ievainojamība in WooCommerce un spraudnis WooCommerce bloki (WooCommerce konstatēta kritiskā ievainojamība), kas varētu ietekmēt miljoniem tiešsaistes veikalu no visas pasaules, kas tika uzbūvēti uz šīs platformas.

Paziņojumu oficiālajā emuārā veica WooCommerce (Automatic) darbinieki, un, kā parasti, dati par neaizsargātiem failiem netika iesniegti. Ir viegli redzēt, kur tik un tā ir veiktas koda izmaiņas, salīdzinot neaizsargātās versijas ar tām, kas atjauninātas pirms dažām stundām, kurās ir fiksēti drošības ielāpi.

Izmantojot šo ievainojamību, uzbrucējs var pārņemt pilnīgi visu tiešsaistes veikala saturu, tostarp šeit: klientu personas dati, pasūtījuma detaļas, pārdošanas atskaites si pasūtījuma statuss, informācijas un administratīvās privilēģijas interneta veikala. Praktiski visi WooCommerce dati, kuriem "Shop Manager" ir piekļuve.

Kādas WooCommerce versijas ietekmē šī kritiskā ievainojamība?

Visas versijas WooCommerce un WooCommerce bloki no 3.3 līdz 5.5. Tas ir, milzīgs versiju skaits, un no šīs ievainojamības neattiecas tiešsaistes veikali, kas ir atjauninājuši WooCommerce.

Mēs iesakām steidzams WooCommerce jaunākās versijas atjauninājums (5.5.1), un, ja izmantojat vecāku versiju, WooCommerce katram ir izveidojis īpašu fiksētu plāksteri. Tādā veidā jūs nebūsiet spiests veikt nozīmīgu WooCommerce jaunināšanu, ja jums pašlaik nav nepieciešamā laika un resursu.


Piemēram, ja jums ir tiešsaistes veikals, kurā esat instalējis WooCommerce 3.4.x, drošības atjauninājums ir WooCommerce 3.4.8. Pāreja uz WooCommerce 5.5.1 nav obligāta, taču ļoti ieteicams to paturēt prātā tuvākajā nākotnē.

Visas versijas ar fiksēts drošības plāksteris var manuāli lejupielādēt un atjaunināt no WooCommerce Core / izlaidumi. Atjauninātās versijas ir datētas "2021-07-14".

Atjauninājumu var veikt arī no Mans ProfilspluginsWooCommerceUpdatevai automātiska atjaunināšana, ja WordPress ir iestatīta šī opcija.

Mēs ceram, ka drošības pārkāpums tika savlaicīgi atklāts un ka vairums tiešsaistes veikalu vadītāju veic veikalu atjaunināšanu.

WooCommerce atklāta kritiskā ievainojamība - izmeklēšana joprojām turpinās. Pašlaik nav zināms, kāda ir šīs ievainojamības ietekme un vai plākstera labojums varētu kaut ko negatīvi ietekmēt.

Aizraujos ar tehnoloģijām, man patīk testēt un rakstīt pamācības par operētājsistēmām macOS, Linux, Windows, par WordPress, WooCommerce un LEMP tīmekļa servera konfigurāciju (Linux, NGINX, MySQL un PHP). Es rakstu tālāk StealthSettings.com kopš 2006. gada, un dažus gadus vēlāk es sāku rakstīt vietnē iHowTo.Tips apmācības un ziņas par ierīcēm ekosistēmā Apple: iPhone, iPad, Apple Skatīties, HomePod, iMac, MacBook, AirPods un piederumi.

Leave a Comment