2021 年 7 月 13 日,安全研究员Josh通过HackerOne 全程序发现并负责任地披露了一个与WooCommerce和WooCommerce Blocks功能插件有关的严重漏洞。
得知该问题后,WooCommerce开发者团队立即进行了彻底调查,审核了所有相关代码库,并为每个受影响的版本(90 多个版本)创建了补丁修复程序,并自动部署到易受攻击的商店。
自动软件更新目前正在向运行每个插件受影响版本的所有商店推出 – 我们仍然强烈建议您确保使用最新版本的 WooCommerce 和 WooCommerce Blocks (5.5.1)。
要在不引起问题的情况下执行此操作,请 首先在您的发布分支中更新到尽可能高的数量 — 这将确保您的网站不再容易受到攻击。
例如:如果您的商店运行 WooCommerce 4.8,请先更新到 WooCommerce 4.8.1(该分支中的最高版本号),然后再继续更新到 WooCommerce 5.5.1。
在此之后,及时了解最新版本的 WooCommerce 始终是一个好主意。请查看我们关于如何安全更新 WooCommerce 的指南。
目录
是否有任何数据被泄露?
WooCommerce开发团队正在调查此漏洞以及数据是否已被泄露。他们将与网站所有者分享有关如何调查其网站上的此安全漏洞的更多信息,将在准备就绪后发布在博客上。如果商店受到影响,公开的信息将特定于该站点存储的内容,但可能包括订单、客户和管理信息。
WooCommerce 仍然可以安全使用吗?
是的。
像这样的事件并不常见,但不幸的是有时会发生。开发团队的意图始终是立即响应并以完全透明的方式运作。
自从得知该漏洞后,该团队夜以继日地工作,以确保修复已到位,并已通知 WooCommerce 用户。
对平台安全的持续投资使我们能够防止绝大多数问题 — 但在极少数可能影响商店的情况下,我们努力快速修复、主动沟通并与 WooCommerce 社区合作。
我如何知道我的版本是否是最新的?
下表包含 WooCommerce 和 WooCommerce 块的修补版本的完整列表。如果您运行的 WooCommerce 或 WooCommerce Blocks 版本没在此列表中,请立即更新。
修补的 WooCommerce 版本 | 修补的 WooCommerce Blocks 版本 |
3.3.6 | 2.5.16 |
3.4.8 | 2.6.2 |
3.5.9 | 2.7.2 |
3.6.6 | 2.8.1 |
3.7.2 | 2.9.1 |
3.8.2 | 3.0.1 |
3.9.4 | 3.1.1 |
4.0.2 | 3.2.1 |
4.1.2 | 3.3.1 |
4.2.3 | 3.4.1 |
4.3.4 | 3.5.1 |
4.4.2 | 3.6.1 |
4.5.3 | 3.7.2 |
4.6.3 | 3.8.1 |
4.7.2 | 3.9.1 |
4.8.1 | 4.0.1 |
4.9.3 | 4.1.1 |
5.0.1 | 4.2.1 |
5.1.1 | 4.3.1 |
5.2.3 | 4.4.3 |
5.3.1 | 4.5.3 |
5.4.2 | 4.6.1 |
5.5.1 | 4.7.1 |
4.8.1 | |
4.9.2 | |
5.0.1 | |
5.1.1 | |
5.2.1 | |
5.3.2 | |
5.4.1 | |
5.5.1 |
WooCommerce – 最可定制的电子商务平台,用于建立您的在线业务。