В WooCommerce обнаружена критическая уязвимость
13 июля 2021 года была обнаружена критическая уязвимость, касающаяся WooCommerce и WooCommerce Blocks.
Обнаружил её исследователь безопасности Джош через нашу программу безопасности HackerOne.
Узнав о проблеме, наша команда немедленно провела тщательное расследование, проверила все соответствующие кодовые базы и создала исправление для каждой затронутой версии (90+ релизов), которое было автоматически развернуто в уязвимых магазинах.
У меня есть магазин WooCommerce — какие действия я должен предпринять?
В настоящее время автоматические обновления программного обеспечения распространяются на все магазины, в которых используются затронутые версии каждого плагина, но мы все равно настоятельно рекомендуем вам убедиться, что вы используете последнюю версию.
Для WooCommerce это 5.5.1 или самый высокий номер в вашей ветке релизов. Если вы также используете WooCommerce Blocks, вы должны использовать версию 5.5.1.
Были ли скомпрометированы какие-либо данные?
Наше расследование этой уязвимости и того, были ли скомпрометированы данные, продолжается. Мы поделимся с владельцами сайтов дополнительной информацией о том, как исследовать эту уязвимость безопасности на своем сайте, которую мы опубликуем в нашем блоге, когда она будет готова.
Если пострадал магазин, то информация, подвергшаяся воздействию, будет зависеть от того, что хранит этот сайт, но может включать в себя информацию о заказах, клиентах и административную информацию.
Можно ли по-прежнему безопасно использовать WooCommerce?
Да.
Подобные инциденты — редкость, но, к сожалению, иногда случаются. Мы всегда стремимся реагировать незамедлительно и работать с полной прозрачностью.
С момента получения информации об уязвимости команда работала круглосуточно, чтобы гарантировать, что исправление было введено в действие.
Наши постоянные инвестиции в безопасность платформы позволяют нам предотвратить подавляющее большинство проблем — но в редких случаях, которые могут потенциально повлиять на магазины, мы стремимся исправить быстро, общаться проактивно, и работать в сотрудничестве с WooCommerce сообществом.
Если у вас есть какие-либо дополнительные проблемы или вопросы относительно этой проблемы, наша команда инженеров рада помочь. Для этого нужно открыть тикет.
Техническая составляющая
- Critical WooCommerce Vulnerabilities
- Woocommerce 3.3 to 5.5 – Authenticated SQL Injection
- WooCommerce Blocks 2.5 to 5.5 – Unauthenticated SQL Injection
- Changeset 2564657