No Comments

WooCommerce patcht kritische Sicherheitslücke und sendet ein erzwungenes Sicherheitsupdate von WordPress.org

 

WooCommerce hat eine nicht näher bezeichnete, kritische Sicherheitslücke, die am 13. Juli 2021 von einem Sicherheitsforscher über das HackerOne-Sicherheitsprogramm von Automattic identifiziert wurde, gepatcht. Die Sicherheitslücke betrifft die Versionen 3.3 bis 5.5 des WooCommerce-Plug-ins sowie die Versionen 2.5 bis 5.5 des WooCommerce Blocks-Funktions-Plug-ins.

„Als unser Team von dem Problem erfuhr, führte es sofort eine gründliche Untersuchung durch, prüfte alle zugehörigen Codebasen und erstellte einen Patch-Fix für jede betroffene Version (90+ Releases), die automatisch in anfälligen Geschäften bereitgestellt wurde“, sagte Beau Lebens, Head of Engineering von WooCommerce in der Sicherheitsmitteilung.

WordPress.org führt derzeit erzwungene automatische Updates für anfällige Stores aus, eine Praxis, die selten angewendet wird, um potenziell schwerwiegende Sicherheitsprobleme zu verringern, die eine große Anzahl von Websites betreffen. Auch bei der automatischen Aktualisierung werden WooCommerce-Händler ermutigt, zu überprüfen, ob in ihren Shops die neueste Version (5.5.1) ausgeführt wird.

Da WooCommerce diesen Sicherheitsfix auf jeden Release-Zweig auf 3.3 zurückportiert hat, können Shop-Besitzer, die ältere Versionen von WooCommerce verwenden, sicher auf die höchste Nummer in ihrem aktuellen Release-Zweig aktualisieren, auch wenn sie nicht die neueste 5.5.1-Version verwenden.

Zum Zeitpunkt der Veröffentlichung verwenden nur 7,2% der WooCommerce-Installationen Version 5.5+. Mehr als die Hälfte der Geschäfte (51,7%) laufen auf einer älteren Version als 5.1. WordPress.org bietet keine genauere Aufschlüsselung der älteren Versionen, aber man kann mit Sicherheit sagen, dass die meisten WooCommerce-Installationen ohne diese zurückportierten Sicherheitsfixes anfällig bleiben.

Die Sicherheitsankündigung weist darauf hin, dass WooCommerce noch nicht bestätigen kann, dass diese Sicherheitsanfälligkeit nicht ausgenutzt wurde:

Wir untersuchen diese Sicherheitsanfälligkeit und untersuchen, ob Daten kompromittiert wurden. Wir werden den Websitebesitzern weitere Informationen zur Untersuchung dieser Sicherheitslücke auf ihrer Website zur Verfügung stellen, die wir in unserem Blog veröffentlichen, sobald sie fertig sind. Wenn ein Geschäft betroffen war, sind die offengelegten Informationen spezifisch für das, was diese Site speichert, können jedoch Bestell-, Kunden- und Verwaltungsinformationen enthalten.

Für diejenigen, die sich Sorgen über eine mögliche Ausbeutung machen, empfiehlt das WooCommerce-Team Händlern, ihre Passwörter nach der Installation der gepatchten Version als Vorsichtsmaßnahme zu aktualisieren.

Die gute Nachricht für Besitzer von WooCommerce-Shops ist, dass diese besondere kritische Schwachstelle innerhalb eines Tages nach ihrer Identifizierung verantwortungsbewusst aufgedeckt und gepatcht wurde. Das Team des Plugins hat sich verpflichtet, in Bezug auf das Sicherheitsproblem transparent zu sein. WooCommerce hat nicht nur eine Ankündigung im Blog des Plugins veröffentlicht, sondern auch allen, die sich in ihre Mailingliste eingetragen haben, eine E-Mail gesendet. Besorgte Ladenbesitzer sollten den WooCommerce-Blog im Auge behalten, um einen Folgebeitrag zu erhalten, wie sie untersuchen können, ob ihre Geschäfte kompromittiert wurden.

 

Source: wpTavern; WooCommerce.

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.

Menu