Sicherheistforscher haben am 13. Juli 2021 eine kritische Sicherheitslücke in Woocommerce und Woocommerce Blocks entdeckt. Mehr als 90 Versionen des Shopping-Plugins für WordPress sind von der SQL-Injection-Lücke betroffen. Nachdem das Open-Source-Projekt über das Problem informiert wurde, hat das Team Sicherheitspatches für sämtliche betroffenen Versionen veröffentlicht. Nutzerinnen und Nutzer sind dazu angehalten, auf die jeweils neuste Unterversion ihrer jeweiligen Woocommerce-Installation upzudaten. Das Update schließt die jetzt entdeckte Sicherheitslücke. Grundsätzlich empfehlen die Woocommerce-Macher Nutzerinnen und Nutzern älterer Release-Versionen jedoch gleich den Umstieg auf die aktuelle Version 5.5.1.

Wie stark die Sicherheitslücke bereits ausgenutzt wurde, ist derzeit noch unklar. Das Woocommerce-Team untersucht die Frage derzeit noch. Nach Angaben des ursprünglichen Entdeckers könnte die Lücke zwar durchaus schon von Kriminellen ausgenutzt worden sein, der auf WordPress-Sicherheit spezialisierte Anbieter Wordfence hat nach Unternehmensangaben jedoch bislang nur „extrem begrenzte Beweise“ dafür gefunden. Alle zum jetzigen Zeitpunkt von Wordfence aufgedeckten Angriffe scheinen von nur drei unterschiedlichen IP-Adressen auszugehen.

Falls ihr glaubt, dass eure Seite betroffen sein könnte, solltet ihr nach Ansicht von Wordfence eure Log-Files nach Anfragen auf /wp-json/wc/store/products/collection-data oder est_route=/wc/store/products/collection-data untersuchen. Außerdem sollen auch Abfrage-Strings, die %2525 enthalten, ein guter Indikator dafür sein, dass ein Angriff stattgefunden hat. Solltet ihr betroffen sein, empfiehlt das Woocommerce-Team dringend die Änderung des Administrator-Passworts nach dem Einspielen des Sicherheits-Updates.

Welche Daten ein Angreifer erbeutet haben könnte, hängt von dem jeweiligen Ziel ab. Nach Ansicht der Woocommerce-Macher könnten sich darunter aber auch Bestellinformationen und Kundendaten befinden.