Hace unos días los administradores de tiendas online hechas con WordPress y WooCommerce recibimos un e-mail de parte del soporte de WordPress avisando del descubrimiento de una vulnerabilidad en WooCommerce y aconsejándonos actualizar WooCommerce si nuestra instalación se encontraba entre las versiones comprendidas entre las 3.3 y 5.5 y el complemento WooCommerce Blocks si estaba entre 2.5 y 5.5.
La razón de este email es que se ha encontrado una vulnerabilidad en dichas versiones, con la cual permitía a atacantes no autenticados acceder a datos arbitrarios en la base de datos de las tiendas online.
Desde que se conoció el error, Beau Lebens, Jefe de Ingeniería de WooCommerce, declaro:
“Al enterarse del problema, nuestro equipo llevó a cabo de inmediato una investigación exhaustiva, auditó todas las bases de código relacionadas y creó una corrección de parche para cada versión afectada (más de 90 versiones) que se implementó automáticamente en tiendas vulnerables«
Esta actualización se descargo e instaló de forma automática en todos los WordPress que tuvieran activas las actualizaciones de seguridad.
Debido a la importancia de la vulnerabilidad, desde WordPress.org se están lanzando actualizaciones automáticas forzadas a las instalaciones vulnerables de WordPress que utilizan estos plugins. Los administradores de tiendas que utilizan versiones anteriores pueden actualizar a la última versión. Por ejemplo, si su tienda utiliza WooCommerce versión 5.4, puede actualizar a la versión 5.4.1 para minimizar el riesgo de problemas de compatibilidad. En el anuncio de seguridad de WooCommerce, hay una tabla que detallada las 90 versiones parcheadas.
El equipo de desarrollo de WooCommerce sigue investigando el alcance de los datos comprometidos, en el momento en el que terminen, se publicará un nuevo anuncio detallando el alcance de la vulnerabilidad. Y nos aconsejan que cambiemos las claves de los administradores del sitio si creemos que nuestra tienda ha podido ser afectada por estos ataques.
Posiblemente hoy 19 de Julio, ya hayas recibido un e-mail del equipo de WordPress notificando la actualización, el texto es algo así:
¡Hola! Algunos plugins se han actualizado automáticamente a sus últimas versiones en tu sitio No son necesarias más acciones por tu parte.
Ahora, estos plugins están al día:
– WooCommerce versión 4.5.3
Si quieres saber más, te pasamos un enlace donde tienes más información de la vulnerabilidad.