WooCommerce corrige a vulnerabilidade crítica, enviando atualização de segurança forçada de WordPress.org

 

O WooCommerce corrigiu uma vulnerabilidade crítica não especificada identificada em 13 de julho de 2021 por um pesquisador de segurança por meio do programa de segurança HackerOne da Automattic. A vulnerabilidade afeta as versões 3.3 a 5.5 do plug-in WooCommerce, bem como a versão 2.5 a 5.5 do plug-in de recursos WooCommerce Blocks.

“Ao saber sobre o problema, nossa equipe imediatamente conduziu uma investigação completa, auditou todas as bases de código relacionadas e criou uma correção de patch para cada versão afetada (mais de 90 lançamentos) que foi implantada automaticamente em lojas vulneráveis”, disse o chefe de engenharia do WooCommerce, Beau Lebens no anúncio de segurança.

O WordPress.org está atualmente empurrando atualizações automáticas forçadas para lojas vulneráveis, uma prática que raramente é empregada para mitigar problemas de segurança potencialmente graves que afetam um grande número de sites. Mesmo com a atualização automática, os comerciantes do WooCommerce são incentivados a verificar se suas lojas estão executando a versão mais recente (5.5.1).

Como o WooCommerce retrocedeu esta correção de segurança para cada branch de lançamento de volta para 3.3, os proprietários de lojas que usam versões mais antigas do WooCommerce podem atualizar com segurança para o número mais alto em seu branch de lançamento atual, mesmo se não executando a versão 5.5.1 mais recente.

No momento da publicação, apenas 7,2% das instalações do WooCommerce estão usando a versão 5.5+. Mais da metade das lojas (51,7%) está executando em uma versão anterior à 5.1. O WordPress.org não oferece uma análise mais específica das versões mais antigas, mas é seguro dizer que sem essas correções de segurança portadas para trás, a maioria das instalações do WooCommerce pode ficar vulnerável.

O anúncio de segurança indica que WooCommerce ainda não pode confirmar que esta vulnerabilidade não foi explorada:

Nossa investigação sobre esta vulnerabilidade e se os dados foram comprometidos está em andamento. Compartilharemos mais informações com os proprietários de sites sobre como investigar essa vulnerabilidade de segurança em seus sites, que publicaremos em nosso blog quando estiver pronto. Se uma loja foi afetada, as informações expostas serão específicas para o que o site está armazenando, mas podem incluir pedidos, clientes e informações administrativas.

Para aqueles que estão preocupados com a possível exploração, a equipe do WooCommerce recomenda que os comerciantes atualizem suas senhas depois de instalar a versão corrigida como uma medida preventiva.

A boa notícia para os proprietários de lojas do WooCommerce é que essa vulnerabilidade crítica em particular foi divulgada com responsabilidade e corrigida dentro de um dia após ter sido identificada. A equipe do plug-in se comprometeu a ser transparente sobre o problema de segurança. Além de publicar um anúncio no blog do plug-in, o WooCommerce também enviou um e-mail para todos que optaram por sua lista de e-mails. Proprietários de lojas preocupados devem ficar de olho no blog WooCommerce para uma postagem de acompanhamento sobre como investigar se suas lojas foram comprometidas.

 

Fonte: wpTavern; WooCommerce.

Você pode gostar também

More Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado.

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.