开发者建议:WooCommerce多个版本中的严重漏洞

最新推荐文章于 2023-01-30 17:57:41 发布
最新推荐文章于 2023-01-30 17:57:41 发布
阅读量313 收藏
点赞数
分类专栏: WordPress 电子商务 WooCommerce 文章标签: WooCommerce 电子商务 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lilihuigz/article/details/118792420
版权
WordPress 同时被 3 个专栏收录
222 篇文章 4 订阅
订阅专栏
电子商务
80 篇文章 1 订阅
订阅专栏
WooCommerce
34 篇文章 0 订阅
订阅专栏
WooCommerce和WooCommerceBlocks的多个版本中发现严重安全漏洞,可能导致用户数据泄露。开发团队已为受影响的90多个版本创建并自动部署补丁。建议所有用户立即更新到最新版本5.5.1以确保安全。受影响的商店可能需要调查潜在的数据泄露情况。
摘要由CSDN通过智能技术生成

在多个版本的 WooCommerceWooCommerce Blocks 功能插件中检测到一个严重漏洞。每个受影响版本的补丁都已创建并自动部署到易受攻击的商店。

目录

细节

我怎么知道这是否会影响我?

我应该采取什么行动?

细节

WooCommerce 和 WooCommerce Blocks 中的一个安全漏洞最近被安全研究员Josh通过HackerOne 安全程序发现并报告给开发团队。此漏洞可能导致用户 ID 和散列密码等数据被泄露。

了解到该漏洞后,WooCommerce 团队立即采取措施进行彻底调查、审核相关代码库,并为 90 多个受影响的版本创建补丁修复程序。此补丁已自动部署到易受攻击的商店。

开发团队正在调查此漏洞以及数据是否已被泄露。我们将与网站所有者分享有关如何调查其网站上的此安全漏洞的更多信息。如果商店受到影响,公开的信息将特定于该站点存储的内容,可能包括订单、客户和管理信息。

我们的文章2021年7月13日在WooCommerce中检测到的严重漏洞中提供了更多信息。

我怎么知道这是否会影响我?

此漏洞影响 WooCommerce Blocks 的版本,范围从 2.5 版到 5.5 版以及 WooCommerce 核心版 3.3 到 5.5 版。任何在这些范围内运行 WooCommerce 或 WooCommerce Blocks 版本的商店都被视为易受攻击的。

我应该采取什么行动?

虽然安全补丁会自动部署到易受攻击的商店,但我们仍然建议更新到这些插件的最新版本,目前是 5.5.1。

我们的几个网站都已经升级到WooCommerce 5.5.1,没有碰到太大问题,使用正常。建议您也立即顺序升级你的WooCommerce网站到最新版(先升级到相应分支的最新版,再升级到WooCommerce 5.5.1,例如4.8升级到4.8.1,再升级到5.5.1)。有什么问题可以咨询我们客服

lilihuigz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
众至科技:漏洞通告 | Apache Fineract 路径遍历漏洞;Zimbra Collaboration 存在远程代码执行漏洞;WordPress Plugin YITH WooCommerce
zz_tech的博客
12-12 356
众至科技发布12月漏洞通告
WooCommerce入门指南:添加简单产品第2部分
代码教主
06-08 469
在之前的文章,我们讨论了WooCommerce如何允许您添加四种不同类型的产品,即简单产品,分组产品,外部/会员产品和可变产品。 与每种类型的产品相关联,有一些设置部分从“常规”到“高级”不等。 在添加简单产品的第一部分,我们配置了一半选项。 让我们完成剩余的选项,最后添加一个简单的产品。 运输 借助“ 运输”选项卡,您可以编辑各种选项,这将有助于WooCommerce计算运输成本。 ...
2021年7月13日在WooCommerce检测到的严重漏洞
WP站长
07-16 470
2021 年 7 月 13 日,安全研究员Josh通过HackerOne 全程序发现并负责任地披露了一个与WooCommerceWooCommerce Blocks功能插件有关的严重漏洞。 得知该问题后,WooCommerce开发者团队立即进行了彻底调查,审核了所有相关代码库,并为每个受影响的版本(90 多个版本)创建了补丁修复程序,并自动部署到易受攻击的商店。 自动软件更新目前正在向运行每个插件受影响版本的所有商店推出 – 我们仍然强烈建议您确保使用最新版本WooCommerce 和 WooCo
这是为多个WooCommerce插件漏洞准备的Docker环境。-Linux开发
05-27
这是为多个WooCommerce插件漏洞准备的Docker环境。 该死的WooCommerce插件漏洞这是为多个WooCommerce插件漏洞而设置的Docker环境。 @vinulium和我创建它的目的是练习根据漏洞描述编写漏洞利用程序。 该环境包含以下可利用的漏洞WooCommerce BoosterPHP对象注入漏洞<= 3.0.1 WOOF的LFI – WooCommerce产品筛选器<= 1.1.9 XSS Woocomerce货币切换器<= 1.1.5.1 WooCommerce Checkout Manager Arbitr
wordpress漏洞_为泄愤,某公司再次故意公开严重的WordPress WooCommerce 扩展 0day 漏洞...
weixin_39846553的博客
11-20 341
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队WordPress 安全公司 Plugin Vulnerabilities 最近发布了一款使用广泛的 WordPress 插件的漏洞 PoC。这个未修复的严重漏洞并不存在于 WordPress 核心或 WooCommerce 插件本身,而是存在于插件 WooCommerce Checkout Manager 。WooComm...
WordPress设计bug+WooCommerce漏洞导致网站存在被劫持风险
mozhe_的博客
11-08 722
WordPress权限系统插件的设计缺陷和WooCommerce(流行电子商务插件)的文件删除漏洞可允许攻击者获得对WordPress网站的完全控制权。 Automattic公司推出的WooCommerce是一个很受欢迎的WordPress插件,它可以添加电子商务功能,这样网站所有者就可以拥有自己的商店。根据WordPress.org的WooCommerce插件页面可以看到,这个插件有超过40...
Woocommerce建立一个网上商店 [03] 增加产品类别
邱哥有言
01-30 233
如果您的商店需要这些类型的产品,您可以在 WordPress 插件存储库搜索它们并将它们添加到您的站点。下面是库存区域,您可以在其管理您的库存。如果您想更新每个变体的内容,您可以选择从所有属性创建变体,您会看到其余的变体已全部一次性添加。或者,如果您只想对选择的变体进行更改,您可以单独创建它们,就像我们之前使用“添加变体”选项所做的那样。如果您想应用我们添加的产品标签,请开始输入它,并在它出现在下拉列表时选择它。这些可以是您产品的其他图片,例如来自不同角度、特写和使用的图片,具体取决于您的产品。
woocommerce基于角色的价格:WooCommerce基于角色的价格插件
02-05
为了确保系统的稳定运行,插件应保持更新,以修复潜在的安全漏洞和兼容新版本的WordPress及WooCommerce。同时,检查与其他关键插件(如会员系统、支付网关等)的兼容性也是至关重要的。 5. **最佳实践** - **市场...
2022最新版:OCTAVIAN V1.8主题:创意多功能WordPress主题.rar
02-12
它支持 WooCommerce 插件,让你可以轻松建立一个功能完备的在线商店,实现商品展示、购物车、支付等一系列电商功能。此外,主题还集成了滑块、轮播、自定义小工具等元素,为内容展示提供了更多可能。特别值得一提的...
2022最新版:ESSENTIALS V2.1.4主题:多用途WordPress主题.rar
02-12
而"ESSENTIALS V2.1.4"是WordPress主题的一个热门选择,尤其适合那些寻求多功能性和灵活性的用户。这款主题以其全面的功能、精美的设计和优化的性能,为网站创建提供了无限可能。 **一、多用途设计** ESSENTIALS...
NopCommerce开源电子商城源码 v1.9 源码版,基于ASP.NET4.0.rar
07-09
本次版本没有大的新功能,因为我们主要重点放在ASP.NET 4.0迁移,更多的功能维护和修改漏洞,但我们有做出以下修改 亮点: 移到ASP.NET4.0(需要装VS2010用于源代码编辑) 简化数据访问。目前使用ORM(Entity framework 4.0) 集成QuickBook 性能优化 以下方面有提升: USA EPAY(集成)支付模块(感谢Chris Curtis) QuickPay支付方式添加了退款和收款 GOOGLE广告集成 更新PAYPAL SOAP API至最新版(63.0) 全局上下文事件(开发人员) 把Assigned to product variants打折拆分为Assigned to product variants和Assigned to categories 新的促销管理界面 PriceGrabber / Yahoo Shopping, become.com的促销信息供应源 新的themoneyconverter.com汇率信息源(默认显示) 根据订单状态让礼品卡激活/禁用(和积分类似) 如果订单总额为0,可跳过/隐藏支付方式(可以各个支付方式配置) 产品的规格、属性界面更加友好 消息模板和信息本地化界面更加友好 产品主图片可以放大 店主可以在全店范围内禁用PDF/EXCEL功能(在等信任级别可用) Payment/Shipping restrictions by country加上全选功能 RSS按钮添加了tooltip资源 少量admin界面修改 批量选项:删除队列的EMAIL 在投票模块加入“在首页显示”和“开始/截止日期”的属性 选项:是否显示导航栏(俗称面包屑) 把MenuControl.ascx移到\Administration\Modules目录 订单详细页有更多的用户界面修改 包裹单现在保存到file/ImportExport目录 漏洞: 产品拷贝功能没有拷贝prices by customer roles 在某些服务器上HTML编辑器会有JS脚本问题 修正上传image/icon收藏夹图标的问题(不是image/x-icon) 一些函数/属性的拼写错误(Weigth > Weight) 修正在IE6,高级搜索页面的界面问题 在点击“继续购物”按钮以后回到错误的页面 Administration\Tax\General\TaxRates.ascx文件,HeaderText字段应该和文本字段匹配 修正了语言图标的小问题 修正澳大利亚邮政(最小尺寸检查和多包裹) 修正UPS的问题(在美国以外发货) 修正在一级价格和产品属性的价格调整 修正Assigned to product variant的打折问题(当打折比产品价格还多时) 修正了Assigned to shipping的打折问题 修正了产品批量编辑的问题 产品批量编辑页面文本框 SEOHelper.RenderMetaTag()没有创建新标签 在用图片(国旗)作为语言选择时,把语言名作为tool tip(html标题)和注释文本显示在image按钮上。 我们不需要在更新购物车以后重设客户的默认付款/收货地址(CustomerManager.ResetCheckoutData方法) firefox下载含有空格的文件名会被截断
2022最新版:SALIENT V14.0.5主题:响应式多功能主题.rar
02-12
总之,SALIENT V14.0.5是一个全面、强大且灵活的WordPress主题,无论你是设计师、开发者还是初次接触WordPress的用户,都能从找到适合自己的解决方案。通过这款主题,你可以构建一个既美观又实用的网站,为你的...
2022最新版:SALIENT V14.0.4主题:响应式多功能主题.rar
02-12
SALIENT V14.0.4正是这样一款集多功能和响应式设计于一体的WordPress主题,它以其卓越的设计理念和强大的功能特性,深受广大开发者和网站所有者的喜爱。 SALIENT主题的核心特点在于其响应式设计,这意味着无论用户...
WordPress漏洞————4.7.0——4.7.1内容注入漏洞分析
Fly_鹏程万里
03-30 3651
一、获取user 1.影响:未授权获取发布过文章的其他用户的用户名、id 2.触发前提: wordpress配置REST API 3.影响版本:&lt;= 4.7 4.漏洞说明: Get请求什么都不用做就可以避开wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php 的逻辑判断,返回ture,程序继续执行query,RES...
SmartStore.Net、NopCommerce 全局异常处理、依赖注入、代码研究
weixin_33681778的博客
09-03 438
以下是本人最近对NopCommerce和SmartStore.net部分代码的研究和总结,主要集于:依赖注入、异常处理、对象映射、系统缓存、日志这些方面,供大家参考。 NOP 3.8 /// <summary> ///在NOP的运动环境进行组件、插件初始化、依赖注入、任务启动 /// </summary> /// ...
基于NopCommerce的开源电商系统改造总结
linjcai的博客
08-05 2093
距离项目的结项会议差不多有一个月的时间了,研发人员也基本上都从该项目撤出。之前一直就想写一下这个项目的总结无奈身兼多职未能抽出身来写这篇文章。不过我们有幸能够在项目开始之初就接触到了.NET领域优秀的
10个您不想错过的最佳网页设计软件
热门推荐
WP站长
04-22 3万+
您在寻找最好的专业网页设计软件吗?网页设计软件使您能够在更短的时间内创建Web模板和设计。在过去,您必须编写数百条困难的代码行来创建最基本的模板; 但是,随着现在市场上的高级网络创建软件,任何人都可以快速,轻松地构建漂亮的网页设计。 在本文,我们将分享您可用于创建网站模板或成熟网站的10种最佳网页设计软件。 目录 1. WordPress 2. Wix 3. Weiebly 4. A...
woocommerce怎么添加多个fb的像素
最新发布
05-16
WooCommerce添加多个Facebook像素需要完成以下几个步骤: 1. 创建Facebook像素:首先,在您的Facebook Ads Manager创建一个新的像素。您可以在Business Manager的菜单,找到此选项,接着点击创建像素,按照...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值