Otkrivena ranjivost u WooCommerce plugin-u
WooCommerce je 13.07.2021. zvanično objavio na svom sajtu da je otkrivena ranjivost u WooCommerce plugin-u. Problem je odmah rešen, a svim korisnicima WooCommerce plugin-a je preporučeno da ga odmah ažuriraju na najnoviju verziju.
S obzirom da su ovoj ranjivosti izloženi milioni korisnika, izdavač plugin-a je odmah preporučio da svi korisnici WoCommerce-a i WoCommerce Blocks-a odmah ažuriraju svoje plugin-e, ukoliko oni nisu već automatski ažurirani.
SQL ubrizgavanje ranjivost (SQL injection)
Ranjivost poznata kao SQL ubrizgavanje (SQL injection) omogućava napadaču da utiče na bazu podataka na način tako da otkrije njenu lozniku, da utiče na njen integritet, pa čak i da je potpuno ukloni. Ranjivost koje je otkrivena u WooCommerce plugin-u pripada upravo ovoj vrsti sigurnosnog propusta.
Ukoliko takav napad pogodi vašu WooCommerce prodavnicu, napadač može imati uvid u celokupnu bazu porudžbina, bazu korisnika, kao i druge administrativne informacije koje ne želite da vidi bilo kod osim vas. Takođe, može potpuno ukloniti vašu bazu, što može ozbiljno ugroziti vaše online poslovanje.
Da li su evidentirani napadi na WooCommerce web prodavnice?
Trenutno nisu evidentirane pomenute vrste napada, ali svakako treba biti oprezan. Ranjivost je tek otkrivena i moguće je da će napadači probati da je iskoriste pre nego većina korisnika krene da ažurira svoje WooCommerce web prodavnice.
Pogođene su različite ranije verzije WooCommece-a
Kao što je već poznato, WooCommerce označava svoja velika izdanja kao 3.x, 4.x i 5.x. Te osnovne verzije (zvane branches) podrazumevaju da su između tih verzija veće razlike nego između verzija reciimo 4.3.0 i 4.6.0.
Neki vlasnici starijih sajtova mogu smatrati rizičnim prelazak sa starijih verzija plugin-a (3.x) na verziju 5.x, jer to može podrazumevati ažuriranje i nekih drugih softvera i plugin-a na sajtu. To realno može sa sobom nositi i određeni rizik od nekompatibilnosti između različitih verzija softvera. Iz tog razloga isti ti vlasnici sajtova mogu izbegavati da ažuriraju svoju verziju WooCommerce-a. Upravo iz tog razloga WooCommerce je izdao zakrpu koje rešava ranjivost na svakoj velikoj verziji (branch) plugin-a.
Tako, ako web sajt koristi WooCommerce verziju 4.x, on će biti ažuriran na verziju 4.8.1 koja je ujedno i poslednja verzija pod verzijom (branch-om) 4.x.
Bez obzira na to, WooCommerce je ipak pozvao sve korisnike da svoje verzije ažuriraju na 5.5.1 verziju plugin-a, koje je ujedno njegova najnovija verzija. Dakle, ako na svom web sajtu imate WoCommerce-a i WoCommerce Blocks plugin-e odmah ih ažurirajte.
Nenad Mihajlović