La vulnerabilidad de WooCommerce afecta a millones de sitios de WordPress

WooCommerce anunció que han parcheado una puerta de inseguridad crítica que está afectando a millones de individuos. Se recomienda de forma encarecida a los editores que utilicen el complemento WooCommerce o el complemento WooCommerce Blocks que actualicen sus complementos si aún no se han actualizado de manera automática.

Actualización automática obligada de WooCommerce

La vulnerabilidad conocida como puerta de inseguridad de inyección de SQL es tan grave que WooCommerce envía de forma automática la actualización a los editores damnificados.

Aunque las actualizaciones son automáticas, algunos editores informan que algunos de sus websites aún no han recibido la actualización.

Por consiguiente, es importante verificar y actualizar manualmente si el ubicación aún no se ha actualizado a la versión más alta de su rama de versión de WooCommerce.

Por norma general, la inyección de SQL es una vulnerabilidad que permite a un hacker malintencionado comprometer la base de datos para mostrar información o actuar de manera diferente de lo que debería, como generalmente manipular la banco de información revelando una contraseña.

Según WooCommerce:

"Si una empresa se ha visto perjudicada, la información divulgada es específica de lo que se guarda en este sitio web, pero puede incluir información sobre pedidos, clientes y administración".

El anuncio de WordFence señaló que se trataba de una puerta de inseguridad de inyección SQL ciega.

WordFence explicó las implicaciones:

“Esta puerta de inseguridad logró posible que atacantes no autenticados tengan la posibilidad de entrar a cualquier dato en la base de datos de una tienda online.

El equipo de Wordfence Threat Intelligence ha podido desarrollar una prueba de término para el tiempo y las inyecciones ciegas booleanas y proporcionar a nuestros clientes premium una regla de firewall inicial pocas horas tras el parche ".

¿Se han puesto en compromiso los sitios de WooCommerce?

Hoy en día no hay prueba de asaltos extendidos que comprometan los sitios de WooCommerce.

WordFence ha dicho:

"Wordfence Threat Intelligence halló evidencia extremadamente limitada de estos intentos y probablemente tales intentos fuesen muy concretos".

Ramas de ediciones del software WooCommerce

Por rama de versión se comprende el número asociado con la versión que utiliza un editor.

Un editor tiene la posibilidad de tener una versión 3.x muy antigua, una versión 4.xy la última versión 5.x. Cada una de estas versiones 3, 4 y 5 se considera una rama.

Las versiones 4.xy 5.x de WooCommerce se conocen como ramas del software y la versión 5 se considera un paso esencial sobre la versión 4.

Algunos editores pueden encontrar una molestia actualizar de la versión 4.xa 5.x.

Para realizar justicia a estos editores, WooCommerce ha publicado un parche que cierra la puerta de inseguridad para cada rama.

Entonces, si un portal de internet tiene la versión 4.x de WooCommerce, se recomienda actualizar al menos a la versión 4.8.1, que es la última versión de la rama 4.x de WooCommerce.

Sin embargo, si bien la última versión de las ramas más antiguas está parcheada, el anuncio oficial recomienda actualizar a la última versión de WooCommerce, en la actualidad la versión 5.5.1.

El aviso decía:

"... recomendamos encarecidamente que se asegure de utilizar las últimas ediciones de WooCommerce y WooCommerce Blocks (5.5.1)".

Esta declaración puede haber causado inadvertidamente un poco de confusión sobre hasta qué punto tienen que actualizar los editores de la rama de versión.

Ciertos editores se preguntaron si están utilizando la versión 4.x, si es segura o si deberían actualizar a la última versión de la rama superior en WooCommerce, hoy día la versión 5.5.1.

Esto es lo que alguien preguntó en la sección de comentarios del anuncio oficial:

"Es la versión 4.8.1 de Woocommerce. ¿Seguro ahora o no? "

Alguien de WooCommerce respondió con la siguiente declaración:

"Ya que esta vulnerabilidad crítica perjudica al complemento de WooCommerce, recomendamos de forma encarecida que se actualice primero.

La versión 4.8.1 que mencionaste tiene dentro el parche de seguridad, por lo que no tienes que llevar a cabo nada aquí hasta el momento en que estés listo para actualizar a la última versión (5.5.1) ".

Citas

Aviso oficial de WooCommerce
Vulnerabilidad crítica descubierta en WooCommerce el 13 de julio de 2021: lo que precisa saber

Informe de WordFence y análisis de inseguridades
Vulnerabilidad crítica de inyección de SQL parcheada en WooCommerce