Вийшов WooCommerce 5.7.0: виправлений баг, здатний привести до витоку аналітичних звітів

Вийшов WooCommerce 5.7.0. Мінорний реліз спочатку не був анонсований як оновлення безпеки, однак на наступний день команда WooCommerce зробила заяву, що минулі версії плагіна мали вразливість, через яку відбувався витік аналітичних звітів в деяких хостингових конфігураціях:

«21 вересня 2021 року наша команда випустила патч, що дозволяє уникнути витоків аналітичних звітів на деяких хостингах з певними серверними конфігураціями».

Згідно WPScan, в технічному плані ця проблема була класифікована як вразливість, пов’язана з порушенням прав доступу.

21 вересня сайт WordPress.org випустив автоматичне оновлення для всіх порушених магазинів. Його отримали всі сайти, у яких автообновление не було явним чином відключено. Команда WooCommerce створила патч для 18 версій аж до 4.0.0, а також 17 пропатченних версій плагіна WooCommerce Admin. Ті, у кого файлова система налаштована на режим read-only, а також ті, хто працює з WooCommerce нижче 4.0.0, не отримають автообновления, а тому повинні будуть оновитися вручну.

Фахівці WooCommerce рекомендують користувачам оновитися до останньої версії (на поточний момент 5.7.1), або до максимально можливої версії у вашій релізной гілці. Пост з оновленням містить докладні інструкції про те, як власники магазинів можуть перевірити, чи доступні їх файли звітів для скачування третіми особами.

Понад 5 млн WordPress-сайтів використовують WooCommerce. На момент публікації 59.8% сайтів працюють з версією 5.4 або більш ранньої. Тільки 12,8% сайтів використовують останню версію 5.7.x.

Вышел WooCommerce 5.7.0: исправлен баг, способный привести к утечке аналитических отчетов

Реліз WooCommerce 5.7.1 був оперативно випущений днями слідом за 5.7.0, оскільки команда отримала кілька звітів про непрацюючих сайтах після поновлення.

Прокоментувати

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *