WooCommerce ha rattoppato una vulnerabilità critica non specificata identificata il 13 luglio 2021 da un ricercatore di sicurezza attraverso il programma di sicurezza HackerOne di Automattic. La vulnerabilità interessa le versioni dalla 3.3 alla 5.5 del WooCommerce plugin, così come la versione da 2.5 a 5.5 del Blocchi WooCommerce plug-in di funzionalità.
“Dopo aver appreso del problema, il nostro team ha immediatamente condotto un’indagine approfondita, verificato tutte le basi di codice correlate e creato una correzione di patch per ogni versione interessata (oltre 90 versioni) che è stata distribuita automaticamente nei negozi vulnerabili”, ha affermato Beau Lebens, responsabile tecnico di WooCommerce. nel annuncio di sicurezza.
WordPress.org sta attualmente spingendo aggiornamenti automatici forzati ai negozi vulnerabili, una pratica che viene raramente impiegata per mitigare problemi di sicurezza potenzialmente gravi che colpiscono un gran numero di siti. Anche con l’aggiornamento automatico, i commercianti di WooCommerce sono incoraggiati a verificare che i loro negozi eseguano l’ultima versione (5.5.1).
Poiché WooCommerce ha eseguito il backport di questa correzione di sicurezza per ogni ramo di rilascio alla 3.3, i proprietari di negozi che utilizzano versioni precedenti di WooCommerce possono aggiornare in sicurezza al numero più alto nel loro ramo di rilascio corrente anche se non eseguono l’ultima versione 5.5.1.
Al momento della pubblicazione, solo il 7,2% delle installazioni di WooCommerce utilizza la versione 5.5+. Più della metà dei negozi (51,7%) utilizza una versione precedente alla 5.1. WordPress.org non offre una ripartizione più specifica delle versioni precedenti, ma è sicuro dire che senza queste correzioni di sicurezza con backport, la maggior parte delle installazioni di WooCommerce potrebbe essere vulnerabile.
L’annuncio sulla sicurezza indica che WooCommerce non può ancora confermare che questa vulnerabilità non sia stata sfruttata:
La nostra indagine su questa vulnerabilità e se i dati sono stati compromessi è in corso. Condivideremo ulteriori informazioni con i proprietari dei siti su come indagare su questa vulnerabilità di sicurezza sul loro sito, che pubblicheremo sul nostro blog quando sarà pronto. Se un negozio è stato interessato, le informazioni esposte saranno specifiche per ciò che quel sito sta memorizzando ma potrebbero includere informazioni su ordini, clienti e amministrative.
Per coloro che sono preoccupati per il possibile sfruttamento, il team di WooCommerce è consigliare ai commercianti di aggiornare le proprie password dopo aver installato la versione con patch come misura cautelativa.
La buona notizia per i proprietari di negozi WooCommerce è che questa particolare vulnerabilità critica è stata divulgata e corretta in modo responsabile entro un giorno dalla sua identificazione. Il team del plugin si è impegnato a essere trasparente sul problema della sicurezza. Oltre a pubblicare un annuncio sul blog del plugin, WooCommerce ha anche inviato un’e-mail a tutti coloro che hanno aderito alla loro mailing list. I proprietari di negozi interessati dovrebbero tenere d’occhio il Blog WooCommerce per un post di follow-up su come indagare se i loro negozi sono stati compromessi.