Esta mañana nos despertamos con varios correos electrónicos avisando de que WooCommerce se ha actualizado automáticamente debido a una vulnerabilidad crítica descubierta el pasado 13 de Julio por el usuario Josh y que rápidamente comunicó a Automattic, responsables del desarrollo de WooCommerce.
Dicha vulnerabilidad también afecta a los WooCommerce Blocks.
El aviso por e-mail nos explica:
Hola Daniel, Nos comunicamos para informarle que se identificó una vulnerabilidad crítica en WooCommerce (versiones 3.3 a 5.5) y el complemento de funciones WooCommerce Blocks (versiones 2.5 a 5.5).
¿Qué acciones debo tomar con mi tienda?
Las tiendas alojadas en WordPress.com y WordPress VIP ya están protegidas. Estamos trabajando con el equipo de complementos de WordPress.org para actualizar automáticamente tantas tiendas como sea posible a versiones seguras de WooCommerce. Sin embargo, también le instamos a que tome las siguientes precauciones adicionales para proteger su sitio: Actualice su copia de WooCommerce a la última versión (5.5.1) o al número más alto posible en su rama de lanzamiento. Si está ejecutando el complemento de función WooCommerce Blocks, deberá actualizarlo a la última versión (5.5.1).¿Qué significa esto para mi tienda?
Nuestra investigación sobre esta vulnerabilidad está en curso, pero queríamos informarle ahora sobre la importancia de actualizar de inmediato. Compartiremos más información con los propietarios del sitio sobre cómo investigar esta vulnerabilidad de seguridad en su sitio, que publicaremos en nuestro blog cuando esté listo. Si una tienda se vio afectada, la información expuesta será específica de lo que almacena ese sitio, pero podría incluir información sobre pedidos, clientes y administración.¿Qué puedo esperar de WooCommerce en el futuro?
Nuestra intención es siempre responder de inmediato y operar con total transparencia. Desde que descubrimos esta vulnerabilidad ayer, el equipo de WooCommerce ha trabajado día y noche para investigar el problema, auditar todas las bases de código relacionadas y lanzar un parche para cada versión afectada (más de 90 lanzamientos). Si tiene alguna otra pregunta, estamos aquí para ayudarlo. Responda a este correo electrónico.
La mayoría de sitios se están actualizando automáticamente, aprovechando una «puerta trasera» de WordPress que permite realizar actualizaciones forzadas aunque no hayan sido aprobadas por el administrador y que Automattic ya usó no hace mucho tiempo para actualizar otra vulnerabilidad relacionada con su plugin JetPack no exenta de polémica.
Aún así, te recomiendo que supervises tus instalaciones de WooCommerce, asegúrate que estás en la última versión 5.5.1. Esta actualización no debe romper ninguna funcionalidad que hayas implementado o causar incompatibilidad con tus plantillas o plugins, pues solamente aplica el parche para vulnerabilidad.
¿Y si tengo una instalación de WooCommerce anterior?
Comprueba que te encuentras en la última versión de tu rama estable de WooCommerce. En esta página están todas las versiones de WooCommerce publicadas hasta la fecha: https://developer.woocommerce.com/releases/
Si no estás en la última versión de tu rama, descárgala desde aquí y súbela desde el apartado de Plugins. El sistema te avisará de que ya existe el plugin de WooCommerce en tu sitio y te preguntará si quieres reemplazarlo por la versión subida.
Deja una respuesta