WooCommerce ha parcheado una vulnerabilidad crítica no especificada identificada el 13 de julio de 2021 por un investigador de seguridad a través del programa de seguridad HackerOne de Automattic. La vulnerabilidad afecta a las versiones 3.3 a 5.5 del complemento WooCommerce, así como a la versión 2.5 a 5.5 del complemento de funciones WooCommerce Blocks.
“Al enterarse del problema, nuestro equipo llevó a cabo de inmediato una investigación exhaustiva, auditó todas las bases de código relacionadas y creó una solución de parche para cada versión afectada (más de 90 lanzamientos) que se implementó automáticamente en las tiendas vulnerables”, dijo Beau Lebens, director de ingeniería de WooCommerce. en el anuncio de seguridad.
WordPress.org está impulsando actualizaciones automáticas forzadas a tiendas vulnerables, una práctica que rara vez se emplea para mitigar problemas de seguridad potencialmente graves que afectan a una gran cantidad de sitios. Incluso con la actualización automática, se recomienda a los comerciantes de WooCommerce que verifiquen que sus tiendas estén ejecutando la última versión (5.5.1).
Dado que WooCommerce retroportó esta corrección de seguridad a cada rama de lanzamiento a 3.3, los propietarios de tiendas que usan versiones anteriores de WooCommerce pueden actualizar de forma segura al número más alto en su rama de lanzamiento actual, incluso si no están ejecutando la última versión 5.5.1.
En el momento de la publicación, solo el 7,2% de las instalaciones de WooCommerce utilizan la versión 5.5+. Más de la mitad de las tiendas (51,7%) utilizan una versión anterior a la 5.1. WordPress.org no ofrece un desglose más específico de las versiones anteriores, pero es seguro decir que sin estas correcciones de seguridad respaldadas, la mayoría de las instalaciones de WooCommerce podrían quedar vulnerables.
El anuncio de seguridad indica que WooCommerce aún no puede confirmar que esta vulnerabilidad no haya sido explotada:
Nuestra investigación sobre esta vulnerabilidad y si los datos se han visto comprometidos está en curso. Compartiremos más información con los propietarios del sitio sobre cómo investigar esta vulnerabilidad de seguridad en su sitio, que publicaremos en nuestro blog cuando esté listo. Si una tienda se vio afectada, la información expuesta será específica de lo que almacena ese sitio, pero podría incluir información sobre pedidos, clientes y administración.
Para aquellos que estén preocupados por una posible explotación, el equipo de WooCommerce recomienda a los comerciantes que actualicen sus contraseñas después de instalar la versión parcheada como medida de precaución.
La buena noticia para los propietarios de las tiendas WooCommerce es que esta vulnerabilidad crítica en particular se reveló y parcheó de manera responsable un día después de su identificación. El equipo del complemento se ha comprometido a ser transparente sobre el problema de seguridad. Además de publicar un anuncio en el blog del complemento, WooCommerce también envió un correo electrónico a todos los que se inscribieron en su lista de correo. Los propietarios de tiendas preocupados deben estar atentos al blog de WooCommerce para obtener una publicación de seguimiento sobre cómo investigar si sus tiendas se han visto comprometidas.
Fuentes: wpTavern; WooCommerce.
