WooCommerce выпустила версию 5.7.0 через принудительное обновление для некоторых пользователей в начале этой недели. Незначительный выпуск не был выставлен как обновление безопасности, но на следующий день WooCommerce опубликовал сообщение, в котором объяснялось, что плагин уязвим к утечке аналитических отчетов на некоторых конфигурациях хостинга:
21 сентября 2021 года наша команда выпустила исправление безопасности для настройки конфигурации сервера, используемой некоторыми хостами, что при определенных условиях может сделать некоторые аналитические отчеты общедоступными.
Согласно WPScan, это технически было классифицировано как уязвимость , связанная с нарушением контроля доступа .
WordPress.org запустил автоматическое обновление в затронутые магазины, начиная с 21 сентября, для всех сайтов, которые не отключили автоматическое обновление явным образом. Команда WooCommerce создала патч для 18 версий до 4.0.0, а также 17 исправленных версий плагина WooCommerce Admin. Те, чья файловая система настроена только для чтения или которые используют версии WooCommerce старше 4.0.0, не получат автоматического обновления и должны перейти к обновлению своих сайтов вручную.
WooCommerce рекомендует пользователям обновиться до последней версии, которая сейчас составляет 5.7.1 или максимально возможное число в вашей ветке выпуска . Безопасность объявление пост имеет подробные инструкции о том , как владельцы магазина могут проверить, если их файлы отчеты могут быть загружены.
Более 5 миллионов сайтов WordPress используют WooCommerce. На момент публикации 59,8% работают на версии 5.4 или более ранней. Только 12,8% используют последнюю версию 5.7.x. Невозможно увидеть, сколько сайтов все еще уязвимо, потому что WordPress.org отображает только разбивку по основным веткам, которые установили пользователи. Некоторые владельцы сайтов, использующие более старые версии, могут по-прежнему активно применять исправления безопасности, но не готовы к обновлению до последней версии.
WooCommerce 5.7.1 был выпущен ранее сегодня после того, как команда получила несколько отчетов о неработающих сайтах после обновления 5.7.0. Этот выпуск включает исправления регрессий и новые ошибки, обнаруженные в предыдущем обновлении.
