WooCommerce已经修补了2021年7月13日Automattic的HackerOne安全程序的安全研究员发现的未指明的严重漏洞。该漏洞影响WooCommerce插件的 3.3 到 5.5 版,以及WooCommerce Blocks功能插件的 2.5 到 5.5 版。
WooCommerce 工程负责人 Beau Lebens 说:“在得知这个问题后,我们的团队立即进行了彻底调查,审核了所有相关的代码库,并为每个受影响的版本(90 多个版本)创建了补丁修复程序,并自动部署到易受攻击的商店。”。
WordPress.org 目前正在向易受攻击的商店推出强制自动更新,这种做法很少用于缓解影响大量站点的潜在严重安全问题。即使使用自动更新,也鼓励 WooCommerce 商家检查他们的商店是否运行最新版本 (5.5.1)。
由于 WooCommerce 将此安全修复程序向后移植到 3.3 的每个发布分支,因此即使没有运行最新的 5.5.1 版本,使用旧版本 WooCommerce 的商店所有者也可以安全地更新到当前发布分支中的最新子版本。
在发布时,只有 7.2% 的 WooCommerce 安装使用版本 5.5+。超过一半的商店 (51.7%) 运行的版本低于 5.1。WordPress.org 没有提供更具体的旧版本细分,但可以肯定地说,如果没有这些向后移植的安全修复程序,大多数 WooCommerce 安装可能容易受到攻击。
安全公告表明 WooCommerce 尚不能确认此漏洞未被利用:
我们正在调查此漏洞以及数据是否已被泄露。我们将与网站所有者分享有关如何调查其网站上的此安全漏洞的更多信息,我们将在准备就绪后发布在我们的博客上。如果商店受到影响,公开的信息将特定于该站点存储的内容,但可能包括订单、客户和管理信息。
对于那些担心可能被利用的人,WooCommerce 团队建议商家在安装补丁版本后更新他们的密码,作为一种备用措施。
对 WooCommerce 商店所有者来说,好消息是这个特殊的严重漏洞在被发现后的一天内被负责任地披露和修补。该插件的团队致力于对安全问题保持透明。除了在插件的博客上发布公告外,WooCommerce 还向所有选择加入其邮件列表的人发送了电子邮件。相关店主应密切关注WooCommerce 博客,以获取有关如何调查其商店是否遭到入侵的后续文章。
倡萌提示:如果你的网站安装了WooCommerce插件,应该会收到强制自动更新以后的通知邮件,如果没有,请访问网站后台去更新这个插件。
