Lỗ hổng nghiêm trọng được phát hiện trong WooCommerce - Hàng triệu cửa hàng trực tuyến có thể bị xâm phạm

Nó được phát hiện gần đây, vào ngày 13 tháng 2021 năm XNUMX, một lỗ hổng nghiêm trọng in WooCommerce và plugin Khối thương mại Woo (Lỗ hổng nghiêm trọng được phát hiện trong WooCommerce) có thể ảnh hưởng đến hàng triệu cửa hàng trực tuyến từ khắp nơi trên thế giới, được xây dựng trên nền tảng này.

Thông báo được đưa ra bởi nhân viên WooCommerce (Tự động) trên blog chính thức và như bình thường, không có dữ liệu nào được cung cấp trên các tệp dễ bị tấn công. Có thể dễ dàng thấy những thay đổi mã đã được thực hiện ở đâu, so sánh các phiên bản dễ bị tấn công với những phiên bản được cập nhật cách đây vài giờ, có chứa các bản vá bảo mật cố định.

Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể chiếm đoạt hoàn toàn tất cả nội dung của cửa hàng trực tuyến, bao gồm cả ở đây: dữ liệu cá nhân của khách hàng, chi tiết đơn hàng, báo cáo bán hàng si tình trạng đặt hàng, thông tin và đặc quyền quản trị của cửa hàng trực tuyến. Hầu như tất cả dữ liệu WooCommerce mà "Người quản lý cửa hàng" có quyền truy cập.

Những phiên bản nào của WooCommerce bị ảnh hưởng bởi lỗ hổng nghiêm trọng này?

Tất cả các phiên bản của WooCommerce và Khối WooCommerce từ 3.3 đến 5.5. Đó là, một số lượng lớn các phiên bản và được miễn khỏi lỗ hổng bảo mật này không phải là các cửa hàng trực tuyến đã cập nhật WooCommerce.

Chúng tôi đề nghị cập nhật khẩn cấp lên phiên bản mới nhất của WooCommerce (5.5.1) và nếu bạn sử dụng phiên bản cũ hơn, WooCommerce đã tạo một bản vá cố định đặc biệt cho từng phiên bản. Bằng cách này, bạn sẽ không bị buộc phải thực hiện nâng cấp WooCommerce lớn nếu bạn không có thời gian và nguồn lực cần thiết tại thời điểm này.


Ví dụ: nếu bạn có một cửa hàng trực tuyến nơi bạn đã cài đặt WooCommerce 3.4.x, thì bản cập nhật bảo mật là WooC Commerce 3.4.8. Không bắt buộc phải chuyển sang WooCommerce 5.5.1, nhưng bạn nên ghi nhớ điều này trong tương lai gần.

Tất cả các phiên bản với bản vá bảo mật đã sửa có thể được tải xuống và cập nhật theo cách thủ công từ WooCommerce Core / Bản phát hành. Các phiên bản cập nhật được ghi ngày "2021-07-14".

Bản cập nhật cũng có thể được thực hiện từ Bảng Điều Khiển (Dashboard)bổ sungWooCommercecập nhậthoặc cập nhật tự động nếu bạn đã đặt tùy chọn này trong WordPress.

Chúng tôi hy vọng rằng vi phạm bảo mật đã được phát hiện kịp thời và hầu hết các quản lý cửa hàng trực tuyến đang trong quá trình cập nhật các cửa hàng.

Đã phát hiện lỗ hổng nghiêm trọng trong WooCommerce - Cuộc điều tra vẫn đang tiếp tục. Hiện tại vẫn chưa biết tác động của lỗ hổng này và liệu bản vá có thể ảnh hưởng tiêu cực đến điều gì đó hay không.

Đam mê công nghệ, thích test và viết các bài hướng dẫn về hệ điều hành macOS, Linux, Windows, về cấu hình máy chủ web WordPress, WooCommerce và LEMP (Linux, NGINX, MySQL và PHP). Tôi viết tiếp StealthSettings.com từ năm 2006 và một vài năm sau, tôi bắt đầu viết trên iHowTo.Tips hướng dẫn và tin tức về các thiết bị trong hệ sinh thái Apple: iPhone, iPad, Apple Xem, HomePod, iMac, MacBook, AirPods và phụ kiện.

Để lại một bình luận