WooCommerce紧急修复3.3至5.5版本严重漏洞强制更新保护商家安全

WooCommerce团队近日成功修复了一项由Automattic HackerOne安全研究员于2021年7月13日发现的严重安全漏洞。该漏洞波及WooCommerce插件3.3至5.5版本，以及WooCommerce Blocks功能插件2.5至5.5版本。面对这一紧急情况，WooCommerce工程负责人Beau Lebens表示，团队在获悉问题后迅速响应，全面审查了相关代码库，并为90多个受影响版本逐一开发补丁，并自动部署至易受攻击的商店。

WordPress.org目前正针对易受攻击的商店实施强制自动更新，这一措施在缓解大规模站点潜在严重安全问题时较为罕见。尽管如此，WooCommerce仍强烈建议商家手动检查商店是否已更新至最新版本5.5.1。值得注意的是，由于WooCommerce将安全修复程序向后移植至3.3的每个发布分支，即使未运行最新版本，使用旧版本WooCommerce的商店所有者也可安全升级至当前发布分支的最新子版本。

根据最新数据，发布时仅有7.2%的WooCommerce安装使用5.5及以上版本，而超过半数商店（51.7%）运行版本低于5.1。WordPress.org未提供更详细的旧版本细分数据，但可以确定的是，若没有这些向后移植的安全修复程序，大多数WooCommerce安装将面临严重风险。

WooCommerce紧急修复3.3至5.5版本严重漏洞强制更新保护商家安全

安全公告显示，WooCommerce目前无法确认该漏洞是否已被利用。团队正在深入调查数据泄露的可能性，并将向网站所有者提供更多关于如何调查其网站安全状况的指导，相关内容将在准备就绪后发布于官方博客。若商店确实受到影响，公开信息将因站点存储内容而异，可能涉及订单、客户及管理信息。

针对担忧被利用的商家，WooCommerce团队建议在安装补丁版本后及时更新密码，作为额外防护措施。对于WooCommerce商店所有者而言，这是一个令人欣慰的消息——该特殊严重漏洞在被发现后仅一天内便得到负责任地披露和修复。插件团队始终致力于对安全问题保持高度透明，除在插件博客发布公告外，WooCommerce还向所有订阅邮件列表的用户发送了通知。

相关店主应密切关注WooCommerce博客，以获取关于如何调查商店是否遭入侵的后续指南。特别提醒：若您的网站安装了WooCommerce插件，应会收到强制自动更新的通知邮件。若未收到，请立即访问网站后台手动更新该插件。

文章网址：https://www.wpbull.com/news/1933.html