La puerta de inseguridad de WooCommerce perjudica a millones de sitios de WordPress

WooCommerce anunció que han parcheado una vulnerabilidad crítica que está afectando a millones de usuarios. Se recomienda de forma encarecida a los editores que empleen el complemento WooCommerce o el complemento WooCommerce Blocks que actualicen sus complementos si aún no se han actualizado de manera automática.

Actualización automática forzada de WooCommerce

La vulnerabilidad conocida como vulnerabilidad de inyección de SQL es tan grave que WooCommerce envía automáticamente la actualización a los editores afectados.

Aunque las actualizaciones son automáticas, algunos editores informan que ciertos de sus websites aún no recibieron la actualización.

Por ende, es importante verificar y actualizar de forma manual si el lugar aún no se ha actualizado a la versión mucho más alta de su rama de versión de WooCommerce.

Por norma general, la inyección de SQL es una puerta de inseguridad que permite a un pirata informático malintencionado comprometer la banco de información para mostrar información o actuar de forma diferente de lo que debería, como por norma general manejar la banco de información revelando una contraseña.

Según WooCommerce:

"Si una compañía se vió perjudicada, la información difundida es concreta de lo que se almacena en este sitio web, pero puede integrar información sobre pedidos, clientes y administración".

El aviso de WordFence señaló que se trataba de una vulnerabilidad de inyección SQL ciega.

WordFence explicó las implicaciones:

“Esta puerta de inseguridad hizo posible que atacantes no autenticados pudieran acceder a cualquier dato en la banco de información de una tienda en línea.

El equipo de Wordfence Threat Intelligence ha podido desarrollar una prueba de término para el tiempo y las inyecciones ciegas booleanas y proporcionar a nuestros clientes premium una regla de firewall inicial a las pocas horas del parche ".

¿Se han puesto en compromiso los sitios de WooCommerce?

Actualmente no hay evidencia de ataques generalizados que comprometan los sitios de WooCommerce.

WordFence dijo:

"Wordfence Threat Intelligence encontró evidencia extremadamente limitada de estos intentos y probablemente semejantes intentos fueran muy concretos".

Ramas de ediciones del programa WooCommerce

Por rama de versión se entiende el número asociado con la versión que usa un editor.

Un editor puede tener una versión 3.x muy vieja, una versión 4.xy la última versión 5.x. Todas estas versiones 3, 4 y 5 se considera una rama.

Las ediciones 4.xy 5.x de WooCommerce se conocen como ramas del software y la versión 5 se considera un paso esencial sobre la versión 4.

Algunos editores tienen la posibilidad de hallar una molestia actualizar de la versión 4.xa 5.x.

Para realizar justicia a estos editores, WooCommerce ha lanzado un parche que cierra la puerta de inseguridad para cada rama.

Entonces, si un sitio web tiene la versión 4.x de WooCommerce, se aconseja actualizar al menos a la versión 4.8.1, que es la última versión de la rama 4.x de WooCommerce.

Sin embargo, aunque la última versión de las ramas más viejas está parcheada, el aviso oficial recomienda actualizar a la última versión de WooCommerce, en la actualidad la versión 5.5.1.

El aviso decía:

"... recomendamos de forma encarecida que se asegure de emplear las últimas ediciones de WooCommerce y WooCommerce Blocks (5.5.1)".

Esta declaración puede haber provocado inadvertidamente un poco de confusión sobre hasta qué punto deben actualizar los editores de la rama de versión.

Algunos editores se han preguntado si están usando la versión 4.x, si es seguro o si deberían actualizar a la última versión de la rama superior en WooCommerce, actualmente la versión 5.5.1.

O sea lo que alguien preguntó en la sección de comentarios del aviso oficial:

"Es la versión 4.8.1 de Woocommerce. ¿Seguro en este momento o no? "

Alguien de WooCommerce respondió con la siguiente declaración:

"Dado que esta puerta de inseguridad crítica perjudica al complemento de WooCommerce, aconsejamos encarecidamente que se actualice primero.

La versión 4.8.1 que mencionaste contiene el parche de seguridad, con lo que no debes llevar a cabo nada aquí hasta el momento en que estés listo para actualizar a la última versión (5.5.1) ".

Citas

Anuncio oficial de WooCommerce
Puerta de inseguridad crítica descubierta en WooCommerce el 13 de julio de 2021: lo que necesita comprender

Informe de WordFence y análisis de vulnerabilidades
Puerta de inseguridad crítica de inyección de SQL parcheada en WooCommerce