WooCommerce устранила неуказанную критическую уязвимость, выявленную 13 июля 2021 года исследователем безопасности в рамках программы безопасности HackerOne от Automattic. Уязвимость затрагивает версии 3.3–5.5 плагина WooCommerce , а также версии 2.5–5.5 плагина функции WooCommerce Blocks .
«Узнав об этой проблеме, наша команда немедленно провела тщательное расследование, проверила все связанные базы кода и создала исправление для каждой затронутой версии (более 90 выпусков), которое было автоматически развернуто в уязвимых магазинах», – сказал руководитель отдела разработки WooCommerce Бо Лебенс. в объявлении о безопасности .
WordPress.org в настоящее время выпускает принудительные автоматические обновления для уязвимых магазинов – практика, которая редко используется для смягчения потенциально серьезных проблем безопасности, влияющих на большое количество сайтов. Даже при автоматическом обновлении продавцам WooCommerce рекомендуется проверять, установлена ли в их магазинах последняя версия (5.5.1).
Поскольку WooCommerce обратно перенесла это исправление безопасности в каждую ветку выпуска до версии 3.3, владельцы магазинов, использующие более старые версии WooCommerce, могут безопасно обновиться до максимального числа в своей текущей ветке выпуска, даже если не установлена самая последняя версия 5.5.1.
На момент публикации только 7,2% установок WooCommerce используют версию 5.5+. Более половины магазинов (51,7%) работают на версиях старше 5.1. WordPress.org не предлагает более подробную разбивку по старым версиям, но можно с уверенностью сказать, что без этих исправлений безопасности большинство установок WooCommerce могут остаться уязвимыми.
Объявление безопасности указывает, что WooCommerce еще не может подтвердить, что эта уязвимость не была использована:
Наше расследование этой уязвимости и того, были ли данные скомпрометированы, продолжается. Мы поделимся с владельцами сайтов дополнительной информацией о том, как исследовать эту уязвимость безопасности на их сайте, и опубликуем ее в нашем блоге, когда он будет готов. Если магазин был затронут, открытая информация будет относиться к тому, что хранится на этом сайте, но может включать в себя информацию о заказе, клиенте и административную информацию.
Для тех, кто обеспокоен возможной эксплуатацией, команда WooCommerce рекомендует продавцам обновлять свои пароли после установки исправленной версии в качестве меры предосторожности.
Хорошая новость для владельцев магазинов WooCommerce заключается в том, что эта конкретная критическая уязвимость была раскрыта и исправлена в течение одного дня после ее обнаружения. Команда плагина стремится к прозрачности в вопросах безопасности. Помимо публикации объявления в блоге плагина, WooCommerce также разослала электронные письма всем, кто подписался на их список рассылки. Обеспокоенные владельцы магазинов должны следить за блогом WooCommerce и следить за тем, как расследовать, были ли их магазины взломаны.
