WordPress-Plugin: WooCommerce schließt kritische Sicherheitslücke
WordPress hat nach dem Veröffentlichen des Patches ein automatisiertes Zwangsupdate veranlasst. Trotzdem könnten noch nicht alle Shops versorgt sein.
(Bild: Alfa Photo/Shutterstock.com)
- Vladimir Simović
Das Team hinter WooCommerce hat eine nicht näher spezifizierte, kritische Sicherheitslücke geschlossen. Diese wurde am Dienstag, dem 13. Juli 2021 von einem Sicherheitsexperten über das HackerOne-Sicherheitsprogramm von Automattic entdeckt.
Die Sicherheitslücke betrifft die Versionen 3.3 bis 5.5 des WooCommerce-Plugins, sowie die Versionen 2.5 bis 5.5 des Plugins WooCommerce Blocks. Nach eigenen Angaben haben die Leute hinter WooCommerce sofort nach dem Bekanntwerden des Problems, die betroffenen Code-Abschnitte überprüft und basierend auf dieser Überprüfung einen Patch für jede, der mehr als 90 betroffenen Version erstellt.
Sicherheitspatch wird automatisch eingespielt
WordPress.org hat nach dem Veröffentlichen des Patches angefangen, diesen an die gefährdeten Shops zu verteilen. Diese Praxis der automatisierten Zwangsupdates wird nur sehr selten angewandt und zeigt damit deutlich, wie ernst das Problem war.
WooCommerce ist nicht das einzige, aber das mit Abstand populärste E-Commerce-Plugin für WordPress. Die Statistiken des offiziellen Plugin-Verzeichnisses zählen aktuell mehr als fünf Millionen aktive WooCommerce-Installationen, von denen die meisten von der Lücke betroffen waren.
Je nach Server-Einstellung, kann es bisweilen passieren, dass die automatischen Updates für WordPress oder die Plugins auf einzelnen Websites nicht eingespielt werden. Daher ist es für Betreiber empfehlenswert zu überprüfen, ob die Updates eingespielt wurden bzw. ob Ihr Projekt noch betroffen ist. Auf der offiziellen Website sind die sicheren Versionen von WooCommerce und WooCommerce Blocks gelistet.
Wurde die Sicherheitslücke aktiv ausgenutzt?
Die Untersuchung der Sicherheitslücke und der Frage, ob auch Daten kompromittiert wurden, ist noch nicht abschließend beantwortet. Um das potenzielle Risiko zu minimieren, empfiehlt WooCommerce den Shop-Betreibern, nach dem Update des Shops, die Passwörter zu aktualisieren.
Die Betreiber von Wordfence, einem Security-Plugin für WordPress, haben diese Lücke als SQL-Injection klassifiziert. Auch Wordfence empfiehlt den Shop-Betreibern, die vermuten, dass die Lücke in Ihren Shops ausgenutzt wurde, nach dem Shop-Update die Änderung der Passwörter und einen Blick in die Logs.
Die betroffenen Nutzer sollten dort nach Anfragen an /wp-json/wc/store/products/collection-data, oder ?rest_route=/wc/store/products/collection-data suchen, die SQL-Anweisungen enthalten. Abfragezeichenfolgen, die %2525 enthalten, sind ein Indikator dafür, dass diese Sicherheitslücke im jeweiligen Shop ausgenutzt wurde.
(kbe)
