Критична уязвимост, открита в WooCommerce - Милиони онлайн магазини могат да бъдат компрометирани

Наскоро беше открит, на 13 юли 2021 г., a критична уязвимост in WooCommerce и плъгин Блокове на WooCommerce (Критична уязвимост, открита в WooCommerce), които биха могли да повлияят милиони онлайн магазини от цял ​​свят, които са построени на тази платформа.

Съобщението беше направено от служителите на WooCommerce (Automatic) в официалния блог и, както беше нормално, не бяха предоставени данни за уязвими файлове. Лесно е да се види къде са направени промени в кода, сравнявайки уязвимите версии с актуализираните преди няколко часа, които съдържат фиксирани корекции за сигурност.

Използвайки тази уязвимост, нападателят може да поеме абсолютно цялото съдържание на онлайн магазина, включително тук: лични данни на клиенти, подробности за поръчката, отчети за продажбите si статус на поръчката, информация и привилегии adminпоучителен на онлайн магазина. Почти всички данни на WooCommerce, до които "Мениджърът на магазини" има достъп.

Какви версии на WooCommerce са засегнати от тази критична уязвимост?

Всички версии на WooCommerce и блокове на WooCommerce от 3.3 до 5.5. Тоест огромен брой версии и изключени от тази уязвимост не са онлайн магазините, които са актуализирали WooCommerce.

Препоръчваме updateспешно до последната версия на WooCommerce (5.5.1) и ако използвате по-стара версия, WooCommerce е създал специална фиксирана корекция за всяка. По този начин няма да бъдете принудени да правите голямо надстройване на WooCommerce, ако в момента нямате необходимото време и ресурси.

• Разберете дали вашият имейл адрес и парола са били компрометирани / откраднати [Firefox Monitor]
• Нова критична уязвимост в Интернет Explorer застрашаващи системи Windows
• Друг уязвимост, открити в Java
• WooCommerce 30 + Вариация не работи [Как да се определи]

Например, ако имате онлайн магазин, който има инсталиран WooCommerce 3.4.x, updateсигурността е WooCommerce 3.4.8. Не е задължително да преминавате към WooCommerce 5.5.1, но е силно препоръчително да имате предвид това в близко бъдеще.

Всички версии с фиксирана корекция за сигурност може да се изтегли и актуализира ръчно от WooCommerce ядро ​​/ издания. Актуализираните версии са с дата "2021-07-14".

UpdateМоже да се направи и от Табло → Plugins → WooCommerce → Update, Or update автоматично, ако тази опция е зададена на WordPress.

Надяваме се, че пробивът в сигурността е открит навреме и че мнозинството adminСобствениците на онлайн магазини са в процес на актуализиране на магазините.

Критична уязвимост, открита в WooCommerce - Разследването все още продължава. В момента не е известно въздействието на тази уязвимост и дали корекцията на корекцията може да повлияе на нещо негативно.