آسیب پذیری ووکامرس بر میلیون ها سایت وردپرس تأثیر می گذارد

WooCommerce اعلام کرد که یک آسیب پذیری مهم را که میلیون ها کاربر را تحت تأثیر قرار داده است ، اصلاح کرده اند. از ناشران استفاده کننده از افزونه WooCommerce یا افزونه WooCommerce Blocks به شدت تقاضا می شود که افزونه های خود را درصورت بروزرسانی نکرده باشند.

WooCommerce به روز رسانی خودکار اجباری

این آسیب پذیری که به عنوان آسیب پذیری تزریق SQL شناخته می شود بسیار شدید است به طوری که WooCommerce به طور خودکار بروزرسانی را به ناشران آسیب دیده می رساند.

اگرچه به روزرسانی ها به صورت خودکار انجام می شوند ، اما برخی از ناشران گزارش می دهند که برخی از سایت های آنها هنوز به روزرسانی را دریافت نکرده اند.

بنابراین اگر سایت هنوز به بالاترین نسخه شعبه نسخه WooCommerce شما به روز نشده است ، بررسی و به روزرسانی دستی مهم است.

به طور کلی ، SQL Injection یک آسیب پذیری است که به یک هکر مخرب اجازه می دهد تا بر روی پایگاه داده تأثیر بگذارد به گونه ای که باعث می شود اطلاعات را نمایش دهد یا رفتار متفاوتی را از روشی که قرار نیست انجام دهد ، به طور کلی ، به عنوان مثال ، قادر به دستکاری در پایگاه داده برای کشف رمز عبور

طبق ووکامرس:

“اگر فروشگاهی تحت تأثیر قرار گرفته باشد ، اطلاعات در معرض اطلاعاتی است كه آن سایت ذخیره می كند اما می تواند شامل اطلاعات سفارش ، مشتری و اداری باشد.”

در اعلامیه WordFence اشاره شده است که این یک آسیب پذیری Blind SQL Injection است.

WordFence این تأثیر را توضیح داد:

“این آسیب پذیری به مهاجمان غیرمجاز اجازه دسترسی به داده های دلخواه را در پایگاه داده فروشگاه آنلاین می دهد.

تیم Wordfence Threat Intelligence توانست مدارک اثبات مفهوم تزریق کور مبتنی بر زمان و بولی را ایجاد کند و قانون اولیه فایروال را برای مشتریان Premium ما چند ساعت پس از وصله منتشر کرد. “

آیا سایت های ووکامرس به خطر افتاده است؟

در حال حاضر هیچ مدرکی مبنی بر حمله گسترده سایتهای ووکامرس وجود ندارد.

WordFence اظهار داشت:

“Wordfence Threat Intelligence شواهد بسیار محدودی از این تلاشها پیدا کرده است و احتمالاً چنین تلاشهایی بسیار هدفمند بوده است.”

شاخه های نسخه نرم افزار WooCommerce

منظور از شاخه نسخه ، شماره مرتبط با نسخه ای است که ناشر از آن استفاده می کند.

یک ناشر می تواند از نسخه 3.x بسیار قدیمی ، نسخه 4.x و آخرین نسخه 5.x استفاده کند. هر یک از این نسخه ها ، 3 ، 4 و 5 یک شاخه در نظر گرفته شده است.

ووکامرس نسخه های 4.x و 5.x شاخه های نرم افزار نامیده می شوند و نسخه 5 را یک پیشرفت اساسی نسبت به نسخه 4 می دانند.

برخی از ناشران ممکن است بروزرسانی از نسخه 4.x به 5.x را مخل بدانند.

WooCommerce برای جلب نظر آن ناشران ، وصله ای را منتشر کرد که آسیب پذیری هر شعبه را می بندد.

بنابراین اگر سایتی از نسخه 4.x ووکامرس برخوردار است ، به آنها توصیه می شود حداقل به نسخه 4.8.1 که آخرین نسخه شعبه ووکامرس 4.x است ، به روز شوند.

با این وجود ، اگرچه آخرین نسخه شعب قدیمی تر وصله شده است ، در اعلامیه رسمی به روزرسانی به آخرین نسخه WooCommerce ، نسخه 5.5.1 در حال حاضر ، توصیه شده است.

در این اطلاعیه آمده است:

“… ما هنوز هم بسیار توصیه می کنیم اطمینان حاصل کنید که از آخرین نسخه های WooCommerce و WooCommerce Blocks استفاده می کنید (5.5.1).”

این بیانیه ممکن است به طور ناخواسته اندکی سردرگمی را نسبت به زمان بروزرسانی ناشران شعبه ایجاد کند.

برخی از ناشران تعجب می کردند که اگر از نسخه 4.x استفاده می کنند ، آیا ایمن است یا باید آنها را به آخرین نسخه از بالاترین شعبه در ووکامرس ، نسخه 5.5.1 فعلی ، به روز کنند؟

این همان چیزی است که کسی در بخش نظرات اعلامیه رسمی:

“آیا نسخه Woocommerce 4.8.1 است. اکنون ایمن است یا نه؟ “

شخصی از ووکامرس با جمله زیر پاسخ داد:

“از آنجا که این آسیب پذیری حیاتی مربوط به افزونه WooCommerce است ، ما به شدت توصیه می کنیم که ابتدا این موضوع به روز باشد.

نسخه ای که به آن اشاره کردید ، 4.8.1 ، حاوی وصله امنیتی است ، بنابراین تا زمانی که آماده به روزرسانی به آخرین نسخه (5.5.1) نباشید ، کار دیگری انجام نمی دهید. “

استناد

اطلاعیه رسمی ووکامرس
آسیب پذیری حیاتی در ووکامرس در 13 ژوئیه 2021 کشف شد – آنچه شما باید بدانید

WordFence گزارش و تجزیه و تحلیل آسیب پذیری
آسیب پذیری تزریق SQL در ووکامرس وصله