Saltar al contenido
Closer Marketing

La vulnerabilidad de WooCommerce afecta a millones de sitios de WordPress


WooCommerce anunció que han parcheado una puerta de inseguridad crítica que está afectando a millones de individuos. Se aconseja de forma encarecida a los editores que usen el complemento WooCommerce o el complemento WooCommerce Blocks que actualicen sus complementos si aún no se han actualizado automáticamente.

Actualización automática obligada de WooCommerce

La puerta de inseguridad conocida como vulnerabilidad de inyección de SQL es tan grave que WooCommerce envía de manera automática la actualización a los editores damnificados.

Aunque las actualizaciones son automáticas, algunos editores reportan que algunos de sus websites aún no han recibido la actualización.

En consecuencia, es importante verificar y actualizar manualmente si el ubicación aún no se ha actualizado a la versión mucho más alta de su rama de versión de WooCommerce.

propaganda

Lee abajo

En general, la inyección de SQL es una puerta de inseguridad que permite a un pirata informático malintencionado poner en una situación comprometedora la banco de información para enseñar información o actuar de forma diferente de lo que debería, como por norma general manipular la banco de información revelando una contraseña.

Según WooCommerce:

«Si una compañía se ha visto afectada, la información divulgada es específica de lo que se almacena en este sitio web, pero puede incluir información sobre pedidos, clientes del servicio y administración».

El anuncio de WordFence señaló que tenía que ver con una vulnerabilidad de inyección SQL ciega.

WordFence explicó las implicaciones:

“Esta vulnerabilidad hizo posible que atacantes no autenticados tengan la posibilidad de acceder a cualquier apunte en la base de datos de una tienda online.

El equipo de Wordfence Threat Intelligence pudo desarrollar una prueba de término para el tiempo y las inyecciones ciegas booleanas y proveer a nuestros clientes del servicio premium una regla de firewall inicial escasas horas tras el parche «.

propaganda

Lee abajo

¿Se han puesto en compromiso los sitios de WooCommerce?

Actualmente no hay evidencia de ataques extendidos que comprometan los sitios de WooCommerce.

WordFence ha dicho:

«Wordfence Threat Intelligence halló evidencia increíblemente limitada de estos intentos y es probable que semejantes intentos fueran muy concretos».

Ramas de versiones del programa WooCommerce

Por rama de versión se entiende el número asociado con la versión que emplea un editor.

Un editor tiene la posibilidad de tener una versión 3.x muy vieja, una versión 4.xy la última versión 5.x. Cada una de estas ediciones 3, 4 y 5 se considera una rama.

Las ediciones 4.xy 5.x de WooCommerce se conocen como ramas del programa y la versión 5 se considera un paso importante sobre la versión 4.

Ciertos editores tienen la posibilidad de localizar una molestia actualizar de la versión 4.xa 5.x.

Para hacer justicia a estos editores, WooCommerce ha lanzado un parche que cierra la puerta de inseguridad para cada rama.

Entonces, si un sitio web tiene la versión 4.x de WooCommerce, se recomienda actualizar al menos a la versión 4.8.1, que es la última versión de la rama 4.x de WooCommerce.

No obstante, aunque la última versión de las ramas mucho más antiguas está parcheada, el anuncio oficial sugiere actualizar a la última versión de WooCommerce, actualmente la versión 5.5.1.

El aviso afirmaba:

«… recomendamos encarecidamente que se asegure de usar las últimas versiones de WooCommerce y WooCommerce Blocks (5.5.1)».

publicidad

Lee abajo

Esta declaración puede haber provocado inadvertidamente algo de confusión sobre hasta qué punto deben actualizar los editores de la rama de versión.

Algunos editores se preguntaron si están empleando la versión 4.x, ¿es seguro o deberían actualizar a la última versión de la rama más importante de WooCommerce, hoy en día la versión 5.5.1?

O sea lo que alguien preguntó en la sección de comentarios del anuncio oficial:

«Es la versión 4.8.1 de Woocommerce. ¿Seguro en este momento o no? «

Alguien de WooCommerce respondió con la siguiente declaración:

«Dado que esta vulnerabilidad crítica afecta al complemento de WooCommerce, recomendamos de forma encarecida que se actualice primero.

La versión 4.8.1 que mencionaste contiene el parche de seguridad, por lo que no debes hacer nada aquí hasta que estés listo para actualizar a la última versión (5.5.1) «.

publicidad

Lee abajo

Citas

Aviso oficial de WooCommerce
Vulnerabilidad crítica descubierta en WooCommerce el 13 de julio de 2021: lo que precisa comprender

Informe de WordFence y análisis de inseguridades
Vulnerabilidad crítica de inyección de SQL parcheada en WooCommerce



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *