La vulnerabilidad de WooCommerce afecta a millones de sitios de WordPress

WooCommerce anunció que ha parcheado una vulnerabilidad crítica que afecta a millones de usuarios. Se recomienda encarecidamente a los editores que utilicen el complemento WooCommerce o el complemento WooCommerce Blocks que actualicen sus complementos si aún no se han actualizado automáticamente.

Actualización automática forzada de WooCommerce

La vulnerabilidad conocida como vulnerabilidad de inyección de SQL es tan grave que WooCommerce está enviando la actualización automáticamente a los editores afectados.

Aunque las actualizaciones son automáticas, algunos editores informan que algunos de sus sitios aún no han recibido la actualización.

Por lo tanto, es importante verificar y actualizar manualmente si el sitio aún no se ha actualizado a la versión más alta de su rama de versión de WooCommerce.

Anuncio publicitario

Continuar leyendo a continuación

En general, una inyección de SQL es una vulnerabilidad que permite que un hacker malintencionado afecte la base de datos de una manera que haga que muestre información o se comporte de manera diferente en formas que no debería, como en general, como ejemplo, de poder manipular el base de datos para revelar una contraseña.

Según WooCommerce:

“Si una tienda se vio afectada, la información expuesta será específica de lo que almacena ese sitio, pero podría incluir información sobre pedidos, clientes y administración”.

El anuncio de WordFence señaló que se trata de una vulnerabilidad de inyección SQL ciega.

WordFence explicó el impacto:

“Esta vulnerabilidad permitió a atacantes no autenticados acceder a datos arbitrarios en la base de datos de una tienda en línea.

El equipo de Wordfence Threat Intelligence pudo desarrollar pruebas de concepto para inyecciones ciegas basadas en tiempo y booleanos y lanzó una regla de firewall inicial para nuestros clientes Premium pocas horas después del parche “.

Anuncio publicitario

Continuar leyendo a continuación

¿Se han comprometido los sitios de WooCommerce?

Actualmente no hay evidencia de ataques generalizados que comprometan los sitios de WooCommerce.

WordFence declaró:

“Wordfence Threat Intelligence ha encontrado pruebas extremadamente limitadas de estos intentos y es probable que tales intentos fueran muy específicos”.

Ramas de la versión del software WooCommerce

Lo que se entiende por rama de versión es el número asociado con la versión que utiliza un editor.

Un editor puede estar usando una versión 3.x muy antigua, una versión 4.xy la última versión 5.x. Cada una de esas versiones, 3, 4 y 5 se consideran una rama.

Las versiones 4.xy 5.x de WooCommerce se denominan ramas del software y la versión 5 se considera un gran avance desde la versión 4.

A algunos editores les puede resultar perjudicial actualizar de la versión 4.xa 5.x.

Para adaptarse a esos editores, WooCommerce lanzó un parche que cierra la vulnerabilidad para cada rama.

Por lo tanto, si un sitio tiene la versión 4.x de WooCommerce, se les anima a actualizar al menos a la versión 4.8.1, que es la última versión de la rama 4.x de WooCommerce.

Sin embargo, aunque la última versión de las ramas más antiguas está parcheada, el anuncio oficial recomienda actualizar a la última versión de WooCommerce, actualmente la versión 5.5.1.

El anuncio señaló:

“… todavía le recomendamos encarecidamente que se asegure de que está utilizando las últimas versiones de WooCommerce y WooCommerce Blocks (5.5.1)”.

Anuncio publicitario

Continuar leyendo a continuación

Esa declaración puede haber causado inadvertidamente un poco de confusión en cuanto a qué tan avanzado deberían actualizar los editores de la rama de versión.

Algunos editores se preguntaban si estaban usando la versión 4.x, si es seguro o si deberían actualizar a la última versión de la rama más alta en WooCommerce, actualmente la versión 5.5.1.

Eso es lo que alguien preguntó en la sección de comentarios del anuncio oficial:

“Es la versión 4.8.1 de Woocommerce. a salvo ahora o no?

Alguien de WooCommerce respondió con la siguiente declaración:

“Dado que esta vulnerabilidad crítica se refiere al complemento WooCommerce, recomendamos encarecidamente asegurarse de que esté actualizado primero.

La versión que mencionas, 4.8.1, contiene el parche de seguridad, por lo que no tienes que hacer nada más hasta que estés listo para actualizar a la última versión (5.5.1) “.

Anuncio publicitario

Continuar leyendo a continuación

Citas

Anuncio oficial de WooCommerce
Vulnerabilidad crítica detectada en WooCommerce el 13 de julio de 2021: lo que necesita saber

Informe de WordFence y análisis de la vulnerabilidad
Vulnerabilidad crítica de inyección de SQL parcheada en WooCommerce