logo

La vulnerabilidad de WooCommerce afecta a millones de sitios de WordPress

Jul 16, 2021 | blog

WooCommerce anunció un parche para una vulnerabilidad crítica que se está implementando como una actualización forzada. Se insta a los editores a comprobar si están actualizados

WooCommerce anunció que ha parcheado una vulnerabilidad crítica que afecta a millones de usuarios. Se recomienda encarecidamente a los editores que utilicen el complemento WooCommerce o el complemento WooCommerce Blocks que actualicen sus complementos si aún no se han actualizado automáticamente.

Actualización automática forzada de WooCommerce

 

La vulnerabilidad conocida como vulnerabilidad de inyección de SQL es tan grave que WooCommerce está enviando la actualización automáticamente a los editores afectados.

 

Aunque las actualizaciones son automáticas, algunos editores informan que algunos de sus sitios aún no han recibido la actualización.

 

Por lo tanto, es importante verificar y actualizar manualmente si el sitio aún no se ha actualizado a la versión más alta de su rama de versión de WooCommerce.

 

Vulnerabilidad de inyección SQL de WooCommerce

 

En general, una inyección SQL es una vulnerabilidad que permite que un hacker malintencionado afecte la base de datos de manera que muestre información o se comporte de manera diferente de una manera que no debería, como en general, como ejemplo, de poder manipular el base de datos para revelar una contraseña.

 

Diseño de páginas web en valencia

Si estas buscando un diseño web valencia, en ALG informática somos expertos en diseño y desarrollo web, tiendas online y más.

PEDIR PRESUPUESTO

Según WooCommerce:

«Si una tienda se vio afectada, la información expuesta será específica de lo que almacena ese sitio, pero podría incluir información sobre pedidos, clientes y administración».

El anuncio de WordFence señaló que se trata de una vulnerabilidad de inyección SQL ciega.

 

WordFence explicó el impacto:

“Esta vulnerabilidad permitió a atacantes no autenticados acceder a datos arbitrarios en la base de datos de una tienda en línea.»

 

El equipo de Wordfence Threat Intelligence pudo desarrollar pruebas de concepto para inyecciones ciegas basadas en tiempo y booleanas y lanzó una regla de firewall inicial para nuestros clientes Premium pocas horas después del parche «.

 

 

¿Se han visto comprometidos los sitios de WooCommerce?

 

Actualmente no hay evidencia de ataques generalizados que comprometan los sitios de WooCommerce.

 

WordFence declaró:

«Wordfence Threat Intelligence ha encontrado pruebas extremadamente limitadas de estos intentos y es probable que dichos intentos fueran muy específicos».

 

Ramas de la versión del software WooCommerce

Lo que se entiende por rama de versión es el número asociado con la versión que utiliza un editor.

Un editor puede estar usando una versión 3.x muy antigua, una versión 4.x y la última versión 5.x. Cada una de esas versiones, 3, 4 y 5 se consideran una rama.

 

Las versiones 4.xy 5.x de WooCommerce se denominan ramas del software y la versión 5 se considera un gran avance desde la versión 4.

A algunos editores les puede resultar perjudicial actualizar de la versión 4.xa 5.x.

Para adaptarse a esos editores, WooCommerce lanzó un parche que cierra la vulnerabilidad para cada rama.

Por lo tanto, si un sitio web tiene la versión 4.x de WooCommerce, se les recomienda actualizar al menos a la versión 4.8.1, que es la última versión de la rama 4.x de WooCommerce.

 

Sin embargo, aunque la última versión de las ramas más antiguas está parcheada, el anuncio oficial recomienda actualizar a la última versión de WooCommerce, actualmente la versión 5.5.1.

 

El anuncio señaló:

«… todavía le recomendamos encarecidamente que se asegure de estar utilizando las últimas versiones de WooCommerce y WooCommerce Blocks (5.5.1)».

 

Esa declaración puede haber causado inadvertidamente un poco de confusión en cuanto a qué tan avanzado deberían actualizar los editores de la rama de versión.

 

Algunos editores se preguntaban si estaban usando la versión 4.x, si es seguro o si deberían actualizar a la última versión de la rama más alta de WooCommerce, actualmente la versión 5.5.1.

 

Eso es lo que alguien preguntó en la sección de comentarios del anuncio oficial:

 “Es la versión 4.8.1 de Woocommerce. a salvo ahora o no?

Alguien de WooCommerce respondió con la siguiente declaración:

“Dado que esta vulnerabilidad crítica se refiere al complemento WooCommerce, recomendamos encarecidamente asegurarse de que esté actualizado primero.

 

La versión que mencionas, 4.8.1, contiene el parche de seguridad, por lo que no tienes que hacer nada más hasta que estés listo para actualizar a la última versión (5.5.1) «.

 

Fuentes:

Anuncio oficial de WooCommerce

Vulnerabilidad crítica detectada en WooCommerce el 13 de julio de 2021

Informe de WordFence y análisis de la vulnerabilidad

Vulnerabilidad crítica de inyección SQL parcheada en WooCommerce