باگ مهم امنیتی ووکامرس 8.1 تا 10.4.2

شرح خبر باگ مهم امنیتی ووکامرس 8.1 تا 10.4.2:

اخیرا تیم ووکامرس یک ایمیل به تمام کاربران خود ارسال کرده است و در این ایمیل از باگ مهم امنیتی که رفع شده است خبر داده. این باگ امنیتی در سطح خیلی بالایی می باشد و نیاز به اقدام فوری دارد. به عبارتی، در صورتی که از افزونه ووکامرس استفاده می کنید، حتما این پلاگین فروشگاه ساز وردپرس را بروزرسانی کنید.

در پایین متن کامل و اصلی تیسم ووکامرس را به صورت فارسی و بدون تغییر را می توانید مطالعه کنید:

درود،

با شما تماس گرفتیم تا اطلاع دهیم یک آسیب‌پذیری امنیتی که در ووکامرس شناسایی شده بود، اصلاح شده است. اگر فروشگاه شما از نسخه ۸.۱ ووکامرس یا جدیدتر استفاده می‌کند، به‌طور جدی توصیه می‌کنیم در اسرع وقت به آخرین نسخه، یعنی ووکامرس ۱۰.۴.۳، به‌روزرسانی کنید. در حال حاضر هیچ نشانه‌ای نداریم که از این آسیب‌پذیری سوء استفاده شده باشد.

اگر فروشگاه شما به‌روزرسانی خودکار را فعال کرده است، یا اگر فروشگاه شما توسط Automattic میزبانی می‌شود (از طریق WordPress.com، Pressable، WordPress VIP، یا هر میزبانی که از WP Cloud استفاده می‌کند)، وصله امنیتی باید از قبل اعمال شده باشد. می‌توانید نسخه خود را با دنبال کردن مراحل زیر بررسی کنید.

چه اقداماتی باید انجام دهید
در حالی که هیچ نشانه‌ای از سوء استفاده از این آسیب‌پذیری وجود ندارد، باید ووکامرس را در اسرع وقت به آخرین نسخه اصلاح‌شده، یعنی ۱۰.۴.۳، به‌روزرسانی کنید. می‌توانید این کار را از طریق مراحل زیر انجام دهید:

1. در پیشخوان مدیریت وردپرس خود، به بخش پیشخوان → به‌روزرسانی‌ها بروید.
2. ووکامرس را انتخاب کنید.
3. اگر نسخه فعلی ووکامرس شما ۱۰.۴.۳ است، نیاز به اقدام دیگری نیست.
4. اگر از نسخه ۱۰.۴.۳ استفاده نمی‌کنید یا گزینه «همین حالا به‌روزرسانی کن» را مشاهده می‌کنید، لطفاً روی آن لینک کلیک کنید تا آخرین نسخه را دریافت کنید.

چه اتفاقی افتاد
یک محقق امنیتی اخیراً یک آسیب‌پذیری در Store API ووکامرس گزارش داد که می‌توانست به مشتریان واردشده اجازه دهد جزئیات سفارش‌های متعلق به مشتریان مهمان (کسانی که بدون ایجاد حساب کاربری خرید خود را نهایی کرده‌اند) را مشاهده کنند. به محض آگاهی از این مشکل، تیم ما اقدام به توسعه و استقرار وصله‌های امنیتی برای تمام نسخه‌های آسیب‌دیده کرد.

بررسی‌های ما تأیید کرد که این آسیب‌پذیری:

• نیازمند دسترسی کاربر به یک نقطه پایانه API بسیار خاص بود و بدون اطلاع قبلی از روش سوء استفاده، قابل کشف نبود.
• فقط می‌توانست اطلاعات سفارش‌های مشتریان مهمان را نمایان کند.
• نیازمند این بود که کاربر یک حساب ثبت‌شده در فروشگاه داشته باشد و وارد فروشگاه شده باشد.
• برای حدود دو سال وجود داشته و هیچ سوء استفاده شناخته‌شده‌ای از آن گزارش نشده است.

چه اطلاعاتی ممکن است در معرض بوده باشد؟

در صورت سوء استفاده، این آسیب‌پذیری می‌توانست اطلاعات سفارش مشتریان مهمان از جمله نام‌ها، آدرس‌های ایمیل، شماره تلفن‌ها، آدرس‌های ارسال و صورتحساب، انواع روش‌های پرداخت استفاده‌شده و اقلام خریداری‌شده را فاش کند. هیچ جزئیات کارت اعتباری یا سایر اطلاعات مالی در معرض نبوده است.

پس از کشف این آسیب‌پذیری، تیم ووکامرس بلافاصله وصله‌هایی برای تمام ۲۳ نسخه آسیب‌دیده ووکامرس (از نسخه ۸.۱ تا ۱۰.۴.۲) توسعه داد و آزمایش‌هایی را انجام داد تا اطمینان حاصل کند که این وصله‌ها مشکل را بدون اختلال در عملکرد فروشگاه برطرف می‌کنند.

اگر سؤال یا نگرانی دارید، کافی است به این ایمیل پاسخ دهید یا روی این لینک کلیک کنید تا یکی از اعضای تیم پشتیبانی ووکامرس با شما تماس بگیرد.

با سپاس،
تیم ووکامرس