Schwere Sicherheitslücke in Woocommerce: Shop-Betreiber sollten dringend updaten

Sicherheistforscher haben am 13. Juli 2021 eine kritische Sicherheitslücke in Woocommerce und Woocommerce Blocks entdeckt. Mehr als 90 Versionen des Shopping-Plugins für WordPress sind von der SQL-Injection-Lücke betroffen. Nachdem das Open-Source-Projekt über das Problem informiert wurde, hat das Team Sicherheitspatches für sämtliche betroffenen Versionen veröffentlicht. Nutzerinnen und Nutzer sind dazu angehalten, auf die jeweils neuste Unterversion ihrer jeweiligen Woocommerce-Installation upzudaten. Das Update schließt die jetzt entdeckte Sicherheitslücke. Grundsätzlich empfehlen die Woocommerce-Macher Nutzerinnen und Nutzern älterer Release-Versionen jedoch gleich den Umstieg auf die aktuelle Version 5.5.1.
Wie stark die Sicherheitslücke bereits ausgenutzt wurde, ist derzeit noch unklar. Das Woocommerce-Team untersucht die Frage derzeit noch. Nach Angaben des ursprünglichen Entdeckers könnte die Lücke zwar durchaus schon von Kriminellen ausgenutzt worden sein, der auf WordPress-Sicherheit spezialisierte Anbieter Wordfence hat nach Unternehmensangaben jedoch bislang nur „extrem begrenzte Beweise“ dafür gefunden. Alle zum jetzigen Zeitpunkt von Wordfence aufgedeckten Angriffe scheinen von nur drei unterschiedlichen IP-Adressen auszugehen.
Falls ihr glaubt, dass eure Seite betroffen sein könnte, solltet ihr nach Ansicht von Wordfence eure Log-Files nach Anfragen auf /wp-json/wc/store/products/collection-data oder est_route=/wc/store/products/collection-data untersuchen. Außerdem sollen auch Abfrage-Strings, die %2525 enthalten, ein guter Indikator dafür sein, dass ein Angriff stattgefunden hat. Solltet ihr betroffen sein, empfiehlt das Woocommerce-Team dringend die Änderung des Administrator-Passworts nach dem Einspielen des Sicherheits-Updates.
Welche Daten ein Angreifer erbeutet haben könnte, hängt von dem jeweiligen Ziel ab. Nach Ansicht der Woocommerce-Macher könnten sich darunter aber auch Bestellinformationen und Kundendaten befinden.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Vielen Dank für diese nützliche Info.
Um die Sache noch etwas übersichtlicher zu gestalten, würde ich vorschlagen unter „Entwicklung & Design“ einen Tag namens „WordPress“ anzulegen. Das würde mir sehr helfen.
Ich nehme alles zurück. Man hat bereits die Möglichkeit die WordPress-Posts zu filtern indem man über „CMS“ und im Anschluss „WordPress“ geht.
trotzdem danke