WooCommerce spedito versione 5.7.0 tramite un aggiornamento forzato per alcuni utenti all’inizio di questa settimana. La versione minore non è stata fatturata come aggiornamento di sicurezza, ma il giorno successivo WooCommerce ha pubblicato un inviare spiegando che il plug-in era vulnerabile alla perdita di rapporti di analisi su alcune configurazioni di hosting:
Il 21 settembre 2021, il nostro team ha rilasciato una patch di sicurezza per risolvere una configurazione di configurazione del server utilizzata da alcuni host, che nelle giuste condizioni potrebbe rapporti di analisi pubblicamente disponibile.
Questo è stato tecnicamente classificato come a vulnerabilità del controllo degli accessi non funzionante, secondo il WPScan.
WordPress.org ha inviato un aggiornamento automatico ai negozi interessati a partire dal 21 settembre, per tutti i siti che non hanno disabilitato esplicitamente gli aggiornamenti automatici. Il team di WooCommerce ha creato una patch per 18 versioni fino alla 4.0.0, insieme a 17 versioni con patch del plug-in WooCommerce Admin. Coloro il cui filesystem è impostato in sola lettura o che eseguono versioni di WooCommerce precedenti alla 4.0.0 non avranno ricevuto l’aggiornamento automatico e dovrebbero procedere all’aggiornamento manuale dei propri siti.
WooCommerce consiglia agli utenti di aggiornare all’ultima versione, che ora è 5.7.1, o al numero più alto possibile nel tuo ramo di rilascio. La sicurezza annuncio post contiene istruzioni dettagliate su come i proprietari dei negozi possono verificare se i loro file di report potrebbero essere stati scaricati.
Più di 5 milioni di siti WordPress utilizzano WooCommerce. Al momento della pubblicazione, il 59,8% è in esecuzione sulla versione 5.4 o precedente. Solo il 12,8% utilizza l’ultima versione 5.7.x. Non è possibile vedere quanti siti sono ancora vulnerabili, perché WordPress.org mostra solo una suddivisione per le principali filiali installate dagli utenti. Alcuni proprietari di siti che eseguono versioni precedenti potrebbero essere ancora attivi nell’applicazione delle patch di sicurezza ma non preparati per l’aggiornamento all’ultima versione.
WooCommerce 5.7.1 è stato rilasciato oggi dopo che il team ha ricevuto più segnalazioni di siti danneggiati a seguito dell’aggiornamento 5.7.0. Questa versione include correzioni per regressioni e nuovi bug identificati nell’aggiornamento precedente.