2021. július 14-én a WooCommerce egy SQL Injection sebezhetőségre vonatkozó sürgős javítást adott ki. Ez a sebezhetőség lehetővé tetszi a nem hitelesített támadók számára, hogy tetszőleges adatokhoz férjenek hozzá egy webáruház adatbázisában.
A WooCommerce a WordPress vezető e-kereskedelmi platformja, amelyet több mint 5 millió weboldalhasznál. Emellett a több mint 200 000 webhelyre telepített WooCommerce Blocks funkció bővítményt is érintette a sebezhetőség, amelyhez már meg is érkezett a javítás.
Javasoljuk, hogy azonnal frissítsen a WooCommerce javított verziójára, és ellenőrizze a telepített áruház verziószámát.
A sebezhetőség a WooCommerce plugin 3.3-5.5 verzióit és a WooCommerce Blocks 2.5-5.5 bővítményt érinti.
A WooCommerce közleményében Beau Lebens, a WooCommerce mérnöki részlegének vezetője kijelentette: "A problémáról értesülve csapatunk azonnal alapos vizsgálatot végzett, auditálta az összes kapcsolódó kódbázist, és minden érintett verzióhoz (90+ kiadás) készített egy javítócsomagot, amelyet automatikusan telepítettünk a sérülékeny áruházakba."
A sebezhetőség kritikus jellege miatt a WordPress.org csapata kényszerített automatikus frissítéseket alkalmazott sebezhető WordPress telepítésekre, amelyek ezeket a bővítményeket használják. A régebbi verziókat használó áruház-tulajdonosok frissíthetnek a legújabb verzióra az águkban. Ha például az áruház a WooCommerce 5.3-as verzióját használja, frissíthető az 5.3.1-es verzióra, így minimalizálva a kompatibilitási problémák kockázatát. A WooCommerce biztonsági közleményében található egy táblázat, amely részletezi a WooCommerce 90 javított verzióját. Ezenkívül a WooCommerce egy hasznos útmutatót is tartalmaz a WooCommerce frissítésekhez.
Bár ez az incidens súlyosnak minősül, még a legalaposabban megírt és ellenőrzött szoftverek esetében is előfordul ilyen esemény. Az esetleges támadás által okozott károk jól beállított, biztonságos üzemeltetési környezettel, folyamatosan felügyelt, napi biztonsági mentésekkel, és azonnal telepített biztonsági frissítésekkel minimalizálhatóak. Ha biztonságban szeretné tudni webáruházait, tárhely szolgáltatás helyett válassza weboldal üzemeltetési szolgáltatásunkat!
A WooCommerce eredeti bejelentése itt olvasható:
https://woocommerce.com/posts/critical-vulnerability-detected-july-2021/
