Saltar al contenido
Aprender Marketing

La vulnerabilidad de WooCommerce afecta a millones de sitios web de WordPress

WooCommerce anunció que han parcheado una puerta no segura crítica que afecta a millones de personas. Si el complemento no se actualizó automáticamente, se recomienda encarecidamente que los editores que utilizan complementos de WooCommerce o complementos de Bloques de WooCommerce actualicen sus complementos.

WooCommerce Force Updates Actualizaciones automáticas

La vulnerabilidad, conocida como SQL Injection Insecure Gate, es tan grave que WooCommerce envía automáticamente actualizaciones a los editores afectados.

Si bien la actualización es automática, algunos editores informan que algunos de sus sitios web aún no han recibido la actualización.

Por lo tanto, si la ubicación no se ha actualizado a la versión más alta de su rama de versión de WooCommerce, asegúrese de verificarla y actualizarla manualmente.

En general, la inyección SQL es un tipo de vulnerabilidad que permite a los atacantes destruir una base de datos para ver información o realizar cualquier otra acción que no sea necesaria, como: B. manipular la base de datos filtrando contraseñas.

Según WooCommerce:

«Si una empresa se ve comprometida, la información divulgada se refiere al contenido almacenado en este sitio web, pero también puede incluir información sobre pedidos, clientes y administración».

El anuncio de WordFence indica que esta es una puerta insegura para la inyección SQL ciega.

WordFence explica su significado:

“Esta puerta no segura permite que un atacante no autenticado ingrese cualquier dato en la base de datos de la tienda en línea.

El equipo de Wordfence Threat Intelligence pudo desarrollar pruebas de punto final de tiempo de inactividad e inyección lógica y proporcionar a nuestros clientes experimentados reglas de firewall iniciales pocas horas después del lanzamiento del parche.

¿Se ha pirateado el sitio web de WooCommerce?

Hoy, no hay evidencia de que un ataque de extensión dañe un sitio web de WooCommerce.

WordFence dijo una vez:

«Wordfence Threat Intelligence ha encontrado pruebas extremadamente limitadas de estos intentos, y estos intentos pueden ser muy específicos».

Versión de afiliado del software WooCommerce

La división de versión es el número asignado a la versión utilizada por el editor.

El editor puede ser una versión 3.x muy antigua, una versión 4.xy la última versión 5.x. Cada una de estas versiones 3, 4 y 5 cuenta como una rama.

Las versiones 4.xy 5.x de WooCommerce se conocen como ramas de software, y la versión 5 se considera un paso importante para la versión 4.

Algunos editores pueden tener dificultades para actualizar de 4.xa 5.x.

Para dar crédito a estos editores, WooCommerce ha lanzado un parche que cierra la puerta insegura para todos los afiliados.

Por lo tanto, si el portal tiene una versión de WooCommerce 4.x, se recomienda actualizarlo a una versión 4.8.1 o superior, que es la última versión de la rama WooCommerce 4.x.

Sin embargo, a pesar de que se ha parcheado la última versión del hilo anterior, el anuncio oficial recomienda que actualice a la última versión de WooCommerce, que actualmente es la versión 5.5.1.

El contenido del mensaje es el siguiente:

«… Recomendamos encarecidamente que utilice la última versión de WooCommerce y WooCommerce Blocks (5.5.1)».

Esta declaración puede inducir inadvertidamente a confusión en cuanto a cuánto necesita actualizar el editor en la rama de versión.

Algunos editores quieren saber si están usando la versión 4.x, si es segura o si deben actualizar a la última versión del hilo superior de WooCommerce, que es 5.5.1 hoy.

Se hicieron las siguientes preguntas en la sección de comentarios del anuncio oficial:

“Esta es la versión 4.8.1 de Woocommerce. ¿Estás seguro ahora? «

Alguien de WooCommerce respondió la siguiente declaración:

“Dado que esta grave vulnerabilidad podría dañar el complemento de WooCommerce, le recomendamos encarecidamente que lo actualice primero.

La versión 4.8.1 que mencionaste incluye correcciones de seguridad, por lo que no necesitas hacer nada aquí hasta que estés listo para actualizar a la última versión (5.5.1).

citas

Anuncio oficial de WooCommerce
Vulnerabilidades críticas descubiertas en WooCommerce el 13 de julio de 2021: lo que necesita saber

Informe de WordFence y análisis de errores
Vulnerabilidad crítica de inyección de SQL corregida en WooCommerce

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *