В начале этой недели вышел WooCommerce 5.7.0. Минорный релиз поначалу не был анонсирован как обновление безопасности, однако на следующий день команда WooCommerce сделала заявление, что прошлые версии плагина имели уязвимость, из-за которой происходила утечка аналитических отчетов в некоторых хостинговых конфигурациях:
«21 сентября 2021 года наша команда выпустила патч, позволяющий избежать утечек аналитических отчетов на некоторых хостингах с определенными серверными конфигурациями».
Согласно WPScan, в техническом плане эта проблема была классифицирована как уязвимость, связанная с нарушением прав доступа.
21 сентября сайт WordPress.org выпустил автоматическое обновление для всех затронутых магазинов. Его получили все сайты, у которых автообновление не было явным образом отключено. Команда WooCommerce создала патч для 18 версий вплоть до 4.0.0, а также 17 пропатченных версий плагина WooCommerce Admin. Те, у кого файловая система настроена на режим read-only, а также те, кто работает с WooCommerce ниже 4.0.0, не получат автообновления, а потому должны будут обновиться вручную.
Специалисты WooCommerce рекомендуют пользователям обновиться до последней версии (на текущий момент 5.7.1), либо до максимально возможной версии в вашей релизной ветке. Пост с обновлением содержит подробные инструкции о том, как владельцы магазинов могут проверить, доступны ли их файлы отчетов для скачивания третьими лицами.
Более 5 млн WordPress-сайтов используют WooCommerce. На момент публикации 59.8% сайтов работают с версией 5.4 или более ранней. Только 12,8% сайтов используют последнюю версию 5.7.x.
Релиз WooCommerce 5.7.1 был оперативно выпущен на днях вслед за 5.7.0, поскольку команда получила несколько отчетов о неработающих сайтах после обновления.