У WooCommerce Вирішені критична уразливість, виявлена 13 липня 2021 року дослідником з безпеки в рамках програми Automattic’s HackerOne. Вразливість впливає на версії 3.3-5.5 плагіна WooCommerce, а також на версії 2.5-5.5 функціонального плагіна WooCommerce Blocks.

«Дізнавшись про це питання, наша команда негайно провела ретельний аудит, перевірила всі пов’язані кодові бази і створила патч для кожної постраждалої версії (більше 90 релізів), яка була автоматично розгорнута в вразливих магазинах», – сказав Бо Лебенс, керівник з розвитку WooCommerce.

WordPress.org випускає примусові автоматичні оновлення для вразливих магазинів, практика, яка рідко використовується для виправлення потенційно небезпечних отворів, що охоплюють велику кількість сайтів. Навіть з доступними автоматичними оновленнями, продавцям WooCommerce все ще рекомендується перевірити, чи встановлено останню версію плагіна (5.5.1).

Оскільки розробники портували патч безпеки до версії 3.3, власники магазинів, які сидять на старих версіях WooCommerce, можуть сміливо оновлюватися до максимальної версії у своїй гілці (якщо ви з якоїсь причини не хочете встановлювати версію 5.5.1).

На момент публікації лише 7,2% установок WooCommerce використовували версію 5.5+. Більше половини магазинів (51,7%) працювати з версіями, старішими за 5.1. WordPress.org не надає детальної статистики щодо старих версій, але можна з упевненістю сказати, що без цих виправлень безпеки більшість установок WooCommerce залишаться вразливими.

Як випливає з оголошення, експерти з безпеки не можуть підтвердити той факт, що ця вразливість ще ніде не використовувалася:

«Наше розслідування цієї вразливості ще триває. Ми поділимося інструкціями з власниками магазинів про те, як перевірити цю вразливість на своїх веб-сайтах. Якщо магазин постраждав, то може витікати інформація, пов’язана з товаром, в тому числі і інформація про замовлення, клієнтів, адміністративну інформацію. “

Команда WooCommerce рекомендує продавцям змінити свої паролі після установки виправленої версії в якості запобіжного заходу.

Доброю новиною для власників магазинів WooCommerce є те, що саме ця критична вразливість була виправлена протягом одного дня після його відкриття. Команда плагінів прагне до прозорості в питаннях безпеки. На додаток до публікації оголошення в блозі плагіна, власники WooCommerce також надіслали електронного листа всім тим, хто підписується на розсилку новин. Власникам магазинів радять стежити за блог WooCommerce – незабаром він повинен містити інструкції про те, як перевірити, чи був магазин скомпрометований чи ні.

джерело: wptavern.com

0 коментарів “WooCommerce латає критичну вразливість”

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *