Krytyczna luka w zabezpieczeniach wykryta w WooCommerce — miliony sklepów internetowych mogą zostać skompromitowane

Odkryto go niedawno, 13 lipca 2021 r. krytyczna podatność in WooCommerce i wtyczka Bloki WooCommerce (Krytyczna luka w zabezpieczeniach wykryta w WooCommerce), które mogą mieć wpływ miliony sklepów internetowych z całego świata, które zostały zbudowane na tej platformie.

Ogłoszenie zostało ogłoszone przez pracowników WooCommerce (Automatic) na oficjalnym blogu i jak zwykle nie przekazano żadnych danych dotyczących podatnych na ataki plików. Łatwo jest sprawdzić, gdzie i tak dokonano zmian w kodzie, porównując wersje podatne na ataki z tymi zaktualizowanymi kilka godzin temu, które zawierają poprawione poprawki bezpieczeństwa.

Wykorzystując tę ​​lukę, atakujący może przejąć absolutnie całą zawartość sklepu internetowego, w tym tutaj: dane osobowe klientów, Szczegóły zamówienia, raporty sprzedaży si status zamówienia, uprawnienia informacyjne i administracyjne sklepu internetowego. Praktycznie wszystkie dane WooCommerce, do których ma dostęp „Shop Manager”.

Jakich wersji WooCommerce dotyczy ta krytyczna luka?

Wszystkie wersje WooCommerce i bloki WooCommerce od 3.3 do 5.5. Oznacza to, że ogromna liczba wersji i zwolnione z tej luki nie są sklepami internetowymi, które zaktualizowały WooCommerce.

zaleca pilna aktualizacja do najnowszej wersji WooCommerce (5.5.1), a jeśli używasz starszej wersji, WooCommerce stworzył specjalną poprawkę dla każdej z nich. W ten sposób nie będziesz zmuszony do poważnej aktualizacji WooCommerce, jeśli nie masz w tej chwili niezbędnego czasu i zasobów.


Na przykład, jeśli masz sklep internetowy, w którym masz zainstalowany WooCommerce 3.4.x, aktualizacja zabezpieczeń jest WooCommerce 3.4.8. Przejście na WooCommerce 5.5.1 nie jest obowiązkowe, ale zdecydowanie zalecamy, aby pamiętać o tym w najbliższej przyszłości.

Wszystkie wersje z naprawiona łatka bezpieczeństwa można pobrać i zaktualizować ręcznie z Rdzeń / wydania WooCommerce. Zaktualizowane wersje są datowane ”2021-07-14".

Aktualizacja może być również wykonana z PulpitWtyczkiWooCommerceaktualizacjalub automatyczna aktualizacja, jeśli masz tę opcję ustawioną w WordPress.

Mamy nadzieję, że naruszenie bezpieczeństwa zostało wykryte na czas i większość kierowników sklepów internetowych jest w trakcie aktualizacji sklepów.

Wykryto krytyczną lukę w zabezpieczeniach WooCommerce — dochodzenie nadal trwa. W tej chwili nie wiadomo, jaki wpływ miała ta podatność i czy poprawka może wpłynąć na coś negatywnie.

Pasjonat technologii, lubię testować i pisać tutoriale o systemach operacyjnych macOS, Linux, Windows, o konfiguracji serwera WWW WordPress, WooCommerce i LEMP (Linux, NGINX, MySQL i PHP). piszę dalej StealthSettings.com od 2006 roku, a kilka lat później zacząłem pisać na iHowTo.Tips tutoriale i newsy o urządzeniach w ekosystemie Apple: iPhoneiPad, Apple Oglądaj, HomePod, iMac, MacBook, AirPods i akcesoria.

Zostaw komentarz