Sicherheitslücke in WooCommerce: Update 2.3.1

Sicherheitslücke in WooCommerce: Jetzt auf 2.3.11 updaten

Gestern am späten Abend wurde WooCommerce auf 2.3.11 aktualisiert. Das beliebte Plugin für Onlineshops enthielt bislang die Sicherheitslücke „Object Injection Vulnerability“. Damit bot es Zugriff auf wichtige Dateien, wie z. B. die wp-config.php mit den Zugangsdaten zur Datenbank – und ermöglichte damit die komplette Seitenübernahme. Wir empfehlen euch daher dringend, umgehend das Update zu starten.

Die Sicherheitslücke selbst liegt nicht im Kern von WooCommerce, sondern einer Funktion zur Anbindung an PayPal. Wird WooCommerce jedoch auf die aktuellste Version aktualisiert, ist die Sicherheitslücke gefixt. Ein Blick in den Changelog der neuen Version zeigt folgende Anpassungen:

  • Fix – Check if rating is enabled before check if rating is required to a review.
  • Fix – get_discounted_price needs to check if taxes are enabled.
  • Fix – Fixed filetype check for digital downloads.
  • Fix – Newfoundland and Labrador state rename.
  • Fix – Escaped js in widget layered nav when use the dropdown option.
  • Fix – Switch the permissions check for json_search_products to use the read_product capability.
  • Fix – Fixed the addition of variable products using the Order API.
  • Fix – Sale item exclusion logic for variations.
  • Fix – Clear correct variation stock transients when setting stock.
  • Fix – Switch to JSON to avoid unserializing untrusted data when handling responses from PayPal.
  • Fix – API – Fixed the sanitization for downloadable files on products endpoint.
  • Tweak – woocommerce_downloadable_file_exists filter.

Tipps zum Update

WooCommerce bereitet bei der Aktualisierung in der Regel keine Probleme. Dennoch solltet ihr vor dem Update einen Wiederherstellungspunkt anlegen. Das gilt besonders für Installationen mit größeren Anpassungen im Quellcode. Dann könnt ihr WooCommerce per Klick auf die Update-Funktion im WordPress-Backend aktualisieren.

Genauere Informationen zur Sicherheitslücke gibt es z. B. auf Sucuri-Blog.

Kommentare

  1. Matthias Klenk am

    In letzter Zeit häufen sich die Updates für WooCommerce.
    Welche sicheren deutschen Alternativen zu WC sind denn bekannt?

    Antworten
    1. Viktor Peters am

      Hallo Matthias,

      Shopware ist z. B. eine gute Wahl für ein Onlineshop-System aus Deutschland. Das Shop-CMS lässt sich bei uns über den Softwaremanager installieren und du erhältst den gewohnten Support von unserem Kundenservice.

      Übrigens: Shopware ist kürzlich auf die neue Version Shopware 5 aktualisiert worden, mit dabei sind interessante Einkaufswelten und Storytelling.

      Viele Grüße
      Viktor vom Mittwald Team

      Antworten

Kommentar hinzufügen