WooCommerce expédié version 5.7.0 via une mise à jour forcée pour certains utilisateurs plus tôt cette semaine. La version mineure n’a pas été facturée comme une mise à jour de sécurité, mais le lendemain, WooCommerce a publié un Publier expliquant que le plugin était vulnérable aux fuites de rapports d’analyse sur certaines configurations d’hébergement :
Le 21 septembre 2021, notre équipe a publié un correctif de sécurité pour corriger une configuration de serveur utilisée par certains hôtes, ce qui, dans les bonnes conditions, peut rendre certains rapports d’analyse Disponible publiquement.
Cela a été techniquement classé comme un vulnérabilité de contrôle d’accès cassé, selon le WPScan.
WordPress.org a poussé une mise à jour automatique vers les magasins concernés à partir du 21 septembre, pour tous les sites qui n’ont pas explicitement désactivé les mises à jour automatiques. L’équipe WooCommerce a créé un correctif pour 18 versions jusqu’à 4.0.0, ainsi que 17 versions corrigées du plugin WooCommerce Admin. Ceux dont le système de fichiers est défini en lecture seule ou qui exécutent des versions WooCommerce antérieures à 4.0.0 n’auront pas reçu la mise à jour automatique et devront procéder à la mise à jour manuelle de leurs sites.
WooCommerce recommande aux utilisateurs de mettre à jour vers la dernière version, qui est maintenant 5.7.1, ou le nombre le plus élevé possible dans votre branche de publication. La sécurité annonce La publication contient des instructions détaillées sur la façon dont les propriétaires de magasins peuvent vérifier si leurs fichiers de rapport ont pu être téléchargés.
Plus de 5 millions de sites WordPress utilisent WooCommerce. Au moment de la publication, 59,8 % fonctionnent sur la version 5.4 ou antérieure. Seuls 12,8% utilisent la dernière version 5.7.x. Il n’est pas possible de voir combien de sites sont encore vulnérables, car WordPress.org n’affiche qu’une ventilation des principales branches installées par les utilisateurs. Certains propriétaires de sites exécutant d’anciennes versions peuvent toujours être actifs dans l’application de correctifs de sécurité mais ne pas être prêts à mettre à jour vers la dernière version.
WooCommerce 5.7.1 a été publié plus tôt dans la journée après que l’équipe a reçu plusieurs rapports de sites cassés suite à la mise à jour 5.7.0. Cette version inclut des correctifs pour les régressions et les nouveaux bogues identifiés dans la mise à jour précédente.
Source link