„WooCommerce“ aptiktas kritinis pažeidžiamumas - gali būti pažeista milijonai internetinių parduotuvių

Neseniai buvo atrasta, 13 m. Liepos 2021 d., A kritinis pažeidžiamumas in WooCommerce ir papildinį „WooCommerce“ blokai („WooCommerce“ aptiktas kritinis pažeidžiamumas), kurie gali turėti įtakos milijonai internetinių parduotuvių iš viso pasaulio, kurie buvo pastatyti ant šios platformos.

Pranešimą oficialiame tinklaraštyje paskelbė „WooCommerce“ (automatinis) darbuotojai, ir, kaip įprasta, duomenų apie pažeidžiamus failus nepateikė. Lengva suprasti, kur vis dėlto buvo atlikti kodo pakeitimai, lyginant pažeidžiamas versijas su prieš kelias valandas atnaujintomis versijomis, kuriose yra fiksuoti saugos lopai.

Išnaudodamas šį pažeidžiamumą užpuolikas gali perimti absoliučiai visą internetinės parduotuvės turinį, įskaitant čia: klientų asmens duomenis, išsami užsakymo informacija, pardavimo ataskaitos si užsakymo būsena, informacija ir administravimo privilegijos internetinės parduotuvės. Praktiškai visi „WooCommerce“ duomenys, prie kurių turi prieigą „Parduotuvių tvarkyklė“.

Kokias „WooCommerce“ versijas veikia šis kritinis pažeidžiamumas?

Visos versijos WooCommerce ir „WooCommerce Blocks“ nuo 3.3 iki 5.5. Tai reiškia, kad daugybė versijų ir kurios nėra pažeidžiamos, nėra internetinės parduotuvės, atnaujinusios „WooCommerce“.

Mes rekomenduojame skubus atnaujinimas į naujausią „WooCommerce“ versiją (5.5.1), o jei naudojate senesnę versiją, „WooCommerce“ kiekvienam sukūrė specialų fiksuotą pleistrą. Tokiu būdu nebūsite priversti atlikti esminio „WooCommerce“ atnaujinimo, jei šiuo metu neturite reikiamo laiko ir išteklių.


Pavyzdžiui, jei turite internetinę parduotuvę, kurioje įdiegta „WooCommerce 3.4.x“, saugos naujinimas yra „WooCommerce“ 3.4.8. Nebūtina pereiti prie „WooCommerce 5.5.1“, tačiau labai rekomenduojama tai nepamiršti artimiausiu metu.

Visos versijos su fiksuoto saugumo pleistras galima atsisiųsti ir atnaujinti rankiniu būdu iš „WooCommerce Core / Releases“. Atnaujintose versijose yra data "2021-07-14".

Atnaujinti taip pat galima iš Prietaisų skydasĮskiepiaiWooCommerceatnaujinimasarba automatinis atnaujinimas, jei „WordPress“ nustatėte šią parinktį.

Tikimės, kad saugumo pažeidimas buvo atrastas laiku ir kad dauguma internetinių parduotuvių vadovų šiuo metu atnaujina parduotuves.

„WooCommerce“ aptiktas kritinis pažeidžiamumas - tyrimas vis dar vyksta. Šiuo metu nežinoma, koks yra šio pažeidžiamumo poveikis ir ar pataisos pataisymas gali turėti neigiamos įtakos.

Aistringai žiūri į technologijas, man patinka išbandyti ir rašyti pamokas apie operacines sistemas macOS, „Linux“, Windows, apie „WordPress“, „WooCommerce“ ir LEMP tinklo serverio konfigūraciją („Linux“, „NGINX“, „MySQL“ ir PHP). Rašau toliau StealthSettings.com nuo 2006 m., o po kelerių metų pradėjau rašyti „iHowTo.Tips“ mokymo programose ir naujienose apie įrenginius ekosistemoje. Apple: iPhone, „iPad“, Apple Žiūrėti, „HomePod“, iMac, MacBook, „AirPod“ ir priedai.

Palikite komentarą