Foi descoberto recentemente, em 13 de julho de 2021, um vulnerabilidade crítica in WooCommerce e plugin Blocos WooCommerce (Vulnerabilidade crítica detectada no WooCommerce) que pode afetar milhões de lojas online de todo o mundo, que foram construídos nesta plataforma.
O anúncio foi feito pela equipe do WooCommerce (Automatic) no blog oficial e, como era normal, nenhum dado foi fornecido sobre arquivos vulneráveis. É fácil ver onde as alterações de código foram feitas de qualquer maneira, comparando as versões vulneráveis com as atualizadas algumas horas atrás, que contêm patches de segurança corrigidos.
Ao explorar esta vulnerabilidade, o invasor pode assumir absolutamente todo o conteúdo da loja online, incluindo aqui: dados pessoais de clientes, detalhes do pedido, relatórios de vendas si status do pedido, informações e privilégios administrativo da loja online. Praticamente todos os dados do WooCommerce aos quais o "Gerente de loja" tem acesso.
Quais versões do WooCommerce são afetadas por esta vulnerabilidade crítica?
Todas as versões de WooCommerce e blocos WooCommerce de 3.3 a 5.5. Ou seja, um grande número de versões, e isentas desta vulnerabilidade não são as lojas online que atualizaram WooCommerce.
recomendado updateurgente para a versão mais recente do WooCommerce (5.5.1), e se você usar uma versão mais antiga, o WooCommerce criou um patch fixo especial para cada um. Dessa forma, você não será forçado a fazer uma grande atualização do WooCommerce se não tiver o tempo e os recursos necessários no momento.
Por exemplo, se você tiver uma loja online que tenha o WooCommerce 3.4.x instalado, updatesegurança é WooCommerce 3.4.8. Não é obrigatório mudar para o WooCommerce 5.5.1, mas é altamente recomendável que você mantenha isso em mente em um futuro próximo.
Todas as versões com patch de segurança corrigido pode ser baixado e atualizado manualmente em WooCommerce Core / Lançamentos. As versões atualizadas são datadas "2021-07-14".
UpdateTambém pode ser feito de Painel → Plugins → WooCommerce → Updateou update automaticamente se você tiver esta opção definida como WordPress.
Esperamos que a violação de segurança tenha sido descoberta a tempo e que a maioria adminOs proprietários de lojas online estão em processo de atualização das lojas.
Vulnerabilidade crítica detectada no WooCommerce - A investigação ainda está em andamento. No momento, não se sabe o impacto desta vulnerabilidade e se a correção do patch pode afetar algo negativamente.