Dernière mise à jour: 23 juillet 2021 le 13 juillet 2021, le chercheur en sécurité Josh, par lrsquointermédiaire de notre programme de sécurité hackerone, a découvert et est responsable de la divulgation drsquoune vulnérabilité grave liée aux plug ins woocommerce et woocommerce blocks. Immédiatement après avoir appris le problème, notre équipe a mené une enquête approfondie, validé toutes les bases de code pertinentes et créé des correctifs pour chaque version touchée (plus de 90 versions) qui a été déployée automatiquement dans le magasin vulnérable pour corriger le problème. Jrsquoai un magasin woocommerce: Que dois je faire? La mise à jour logicielle automatique de woocommerce 5.5.1 a commencé le 14 juillet 2021 dans tous les magasins qui exécutent les versions touchées de chaque plug in, mais nous recommandons toujours de assurer que utilisez la dernière version. Pour woocommerce, crsquoest le plus grand nombre possible de 5.5.2 * ou de branches de publication. utilisez également des blocs woocommerce, devriez utiliser la version 5.5.1 du plug in.
Important: avec la sortie de woocommerce 5.5.2 le 23 juillet 2021, le processus de mise à jour automatique ci dessus a été arrêté. Après la mise à jour vers la version corrective, nous recommandons également de mettre à jour les mots de passe de tous les utilisateurs de lrsquoAdministrateur sur le site, en particulier srsquoils réutilisent le même mot de passe sur plusieurs sites, et de faire tourner toutes les passerelles de paiement et les clés API woocommerce utilisées sur le site. De plus amples informations sur ces étapes sont fournies ci dessous. Woocommerce 5.5.2 publié le 23 juillet 2021. Les corrections dans cette version ne sont pas liées à des vulnérabilités de sécurité récentes.
Comment savoir si ma version est à jour? Le tableau suivant contient une liste complète des versions correctes des blocs woocommerce et woocommerce. utilisez woocommerce ou
Woocommerce bloque le contenu qui nrsquoest pas dans cette liste, srsquoil plaît mettre à jour à la version la plus élevée dans la branche de publication maintenant.
Version patch de woocommerce
Woocommerce Block patch version
3.3.6
2.5.16
3.4.8
2.6.2
3.5.9
2.7.2
3.6.6
2.8.1
3.7.2
2.9.1
3.8.2
3.0.1
3.9.4
3.1.1
4.0.2
3.2.1
4.1.2
3.3.1
4.2.3
3.4.1
4.3.4
3.5.1
4.4.2
3.6.1
4.5.3
3.7.2
4.6.3
3.8.1
4.7.2
3.9.1
4.8.1
4.0.1
4.9.3
4.1.1
5.0.1
4.2.1
5.1.1
4.3.1
5.2.3
4.4.3
5.3.1
4.5.3
5.4.2
4.6.1
5.5.1
4.7.1
5.5.2
4.8.1
4.9.2
5.0.1
5.1.1
5.2.1
5.3.2
5.4.1
5.5.1
Pourquoi mon site nrsquoa t il pas été mis à jour automatiquement? Votre site Web peut ne pas être automatiquement mis à jour pour plusieurs raisons, dont la plus probable est que exécutez une version plus ancienne que la version touchée (selon woocommerce 3.3), que la mise à jour automatique est explicitement désactivée sur votre site, Votre système de fichiers est en lecture seule ou a des extensions potentiellement conflictuelles qui ne peuvent pas être mises à jour.
Dans tous les cas (à lrsquoexception du premier exemple, qui ne intéresse pas), devriez essayer de mettre à jour manuellement la dernière version du correctif (par exemple 5.5.2, 5.4.2, 5.3.1, etc.) sur la branche de publication. Comme indiqué dans le tableau ci dessus. Des données ont elles été divulguées? Sur la base des éléments de preuve disponibles, nous estimons que toute utilisation est limitée. le magasin est touché, lrsquoinformation affichée sera spécifique au contenu que le site stocke, mais peut inclure des informations sur les commandes, les clients et les informations administratives. Comment vérifier si mon magasin est utilisé? En raison de la nature de cette vulnérabilité et de la manière extrêmement flexible dont WordPress (et woocommerce) permet de gérer vos demandes Web, non
Mots ou autres informations sensibles stockés de manière moins sûre. lrsquoun de vos utilisateurs drsquoadministrateur de site peut avoir réutilisé le même mot de passe sur plusieurs sites, nous recommandons de mettre à jour ces mots de passe au cas où leurs justificatifs drsquoidentité seraient divulgués ailleurs. Nous recommandons également de modifier toutes les données privées ou confidentielles stockées dans la base de données WordPress woocommerce. Cela peut comprendre une clé API, une clé publique privée pour la passerelle de paiement, etc., selon la configuration spécifique du magasin.
En tant que développeur drsquoextension ou fournisseur de services, devrions nous informer notre marchand woocommerce? travaillez avec nrsquoimporte quel magasin ou marchand de woocommerce en direct, travaillez avec eux pour assurer qursquoils sont au courant du problème et ou mettez à jour leur magasin à une version sécurisée. avez créé une extension basée sur lrsquoAPI woocommerce ou fourni un service SaaS, aidez le commerçant à réinitialiser la clé pour connecter à votre service. En tant que propriétaire, dois je informer mes clients? En fin de compte, crsquoest à drsquoinformer le client. Votre obligation drsquoinformer vos clients ou de réinitialiser votre mot de passe, par exemple, varie en fonction de lrsquoinfrastructure de votre site, de lemplacement géographique de et de vos clients, des données que votre site recueille et des détails tels que si votre site a été endommagé.
La mesure la plus importante que pouvez prendre pour protéger vos clients est de mettre à jour votre version de woocommerce à une version qui corrige cette vulnérabilité. Après la mise à jour, nous recommandons: de mettre à jour les mots de passe de tous les utilisateurs du site administrateur, en particulier si réutilisez le même mot de passe sur plus drsquoun site, veuillez faire tourner toutes les passerelles de paiement et les clés API woocommerce utilisées sur le site. En tant que propriétaire
