Vážná zranitelnost ve WooCommerce a WooCommerce Blocks pluginu

Před dvěma dny byla ve WooCommerce a WooCommerce Blocks pluginu objevena závažná zranitelnost, jenž umožnuje kompromitovat web. Zranitelnost je natolik závažná, že dochází k automatické aktualizaci WooCommerce napříč verzemi.

V tuto chvíli není jasné, jak přesně může být e-shop napaden, ani k jakým datům se může útočník dostat. Jakmile WooCommerce uveřejní nějaké informace, doplním článek.

V tuto chvíli jediné co můžete udělat, je zkontrolovat, zda máte na webu opravenou verzi. To zjistíte zde, kde je seznam všech aktualizací. Pokud má vaše verze datum vydání 14.7.2021, tak je vše v pořádku. Starší verze prosím aktualizujte neprodleně.

Při porovnávání posledních verzí, to vypadá na problém v ProductQueryFilters, kde byl nahrazen kód:

$attributes_to_count     = array_map( 'wc_sanitize_taxonomy_name', $attributes );

kódem

$attributes_to_count     = array_map(
			function( $attribute ) {
				$attribute = wc_sanitize_taxonomy_name( $attribute );
				return esc_sql( $attribute );
			},
			$attributes
		);

a v souboru class-wc-webhook-data-store.php, kde byl kód:

$search          = ! empty( $args['search'] ) ? "AND `name` LIKE '%" . $wpdb->esc_like( sanitize_text_field( $args['search'] ) ) . "%'" : '';

nahrazen kódem:

$search          = ! empty( $args['search'] ) ? $wpdb->prepare( "AND `name` LIKE %s", '%' . $wpdb->esc_like( sanitize_text_field( $args['search'] ) ) . '%' ) : '';

Neváhejte s aktualizací, pokud se neprovedla automaticky.

Čtěte  WooCommerce 5.5.0

About The Author

Zajímá mne Wordpress, responsivní šablony a zkrátka vše kolem tohoto skvělého redakčního systému.

Související články

Přidejte komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *