Před dvěma dny byla ve WooCommerce a WooCommerce Blocks pluginu objevena závažná zranitelnost, jenž umožnuje kompromitovat web. Zranitelnost je natolik závažná, že dochází k automatické aktualizaci WooCommerce napříč verzemi.
V tuto chvíli není jasné, jak přesně může být e-shop napaden, ani k jakým datům se může útočník dostat. Jakmile WooCommerce uveřejní nějaké informace, doplním článek.
V tuto chvíli jediné co můžete udělat, je zkontrolovat, zda máte na webu opravenou verzi. To zjistíte zde, kde je seznam všech aktualizací. Pokud má vaše verze datum vydání 14.7.2021, tak je vše v pořádku. Starší verze prosím aktualizujte neprodleně.
Při porovnávání posledních verzí, to vypadá na problém v ProductQueryFilters, kde byl nahrazen kód:
$attributes_to_count = array_map( 'wc_sanitize_taxonomy_name', $attributes );
kódem
$attributes_to_count = array_map(
function( $attribute ) {
$attribute = wc_sanitize_taxonomy_name( $attribute );
return esc_sql( $attribute );
},
$attributes
);
a v souboru class-wc-webhook-data-store.php, kde byl kód:
$search = ! empty( $args['search'] ) ? "AND `name` LIKE '%" . $wpdb->esc_like( sanitize_text_field( $args['search'] ) ) . "%'" : '';
nahrazen kódem:
$search = ! empty( $args['search'] ) ? $wpdb->prepare( "AND `name` LIKE %s", '%' . $wpdb->esc_like( sanitize_text_field( $args['search'] ) ) . '%' ) : '';
Neváhejte s aktualizací, pokud se neprovedla automaticky.