Важно: обновите WooCommerce до версии 10.4.3 для устранения уязвимости безопасности

Команда WooCommerce недавно закрыла уязвимость безопасности в платформе, которая затрагивала версии 8.1 и выше. Если вы используете WooCommerce на своём сайте, крайне рекомендуется обновиться до версии 10.4.3 как можно скорее.

Что произошло

Исследователь безопасности обнаружил уязвимость в Store API WooCommerce, которая теоретически могла позволить зарегистрированным пользователям видеть данные заказов гостевых клиентов (то есть тех, кто оформлял заказ без создания аккаунта).

Наше расследование показало:

• Уязвимость могла быть использована только при доступе к очень конкретной точке API и без знания эксплойта её нельзя было обнаружить.
• Доступной была только информация о заказах гостевых клиентов.
• Для эксплуатации требовался зарегистрированный аккаунт и авторизация на сайте.
• Уязвимость существовала около двух лет, но случаев её использования не зафиксировано.

Если бы она была использована, могли быть раскрыты следующие данные:

• Имя, email и телефон гостевых клиентов
• Адреса доставки и выставления счета
• Типы используемых способов оплаты и список купленных товаров

Важно: данные кредитных карт и другие финансовые данные не были затронуты.

Что нужно сделать

Если ваш магазин:

• работает на WooCommerce версии 8.1 или выше,
• и ещё не обновлён до версии 10.4.3,

то выполните обновление:

1. В админке WordPress перейдите в Консоль → Обновления.
2. Выберите WooCommerce и нажмите «Обновить».
3. Если уже установлена версия 10.4.3, дополнительных действий не требуется.

Если ваш магазин использует автоматические обновления или размещён на платформах WordPress.com, Pressable, WordPress VIP или других хостах с WP Cloud, патч уже применён.

Заключение

Хотя случаев эксплуатации не зафиксировано, своевременное обновление WooCommerce обеспечивает безопасность ваших клиентов и предотвращает возможные риски. Следите за обновлениями и поддерживайте ваши плагины в актуальном состоянии.