تم اكتشاف ضعف حرج في WooCommerce في 13 يوليو 2021 - ما تحتاج إلى معرفته
نشرت: 2021-07-15آخر تحديث: 23 يوليو 2021
في 13 يوليو 2021 ، تم تحديد ثغرة أمنية خطيرة تتعلق بـ WooCommerce والمكوِّن الإضافي لميزة WooCommerce Blocks وكشف عنها الباحث الأمني جوش بشكل مسؤول ، عبر برنامج الأمان HackerOne الخاص بنا.
عند التعرف على المشكلة ، أجرى فريقنا على الفور تحقيقًا شاملاً ، وراجع جميع قواعد التعليمات البرمجية ذات الصلة ، وأنشأ تصحيحًا لإصلاح المشكلة لكل إصدار متأثر (أكثر من 90 إصدارًا) والذي تم نشره تلقائيًا في المتاجر الضعيفة.
لدي متجر WooCommerce - ما هي الإجراءات التي يجب علي اتخاذها؟
بدأت تحديثات البرامج التلقائية لـ WooCommerce 5.5.1 في الظهور في 14 يوليو 2021 لجميع المتاجر التي تعمل بإصدارات متأثرة من كل مكون إضافي ، ولكننا لا نزال نوصي بشدة بالتأكد من أنك تستخدم أحدث إصدار. بالنسبة إلى WooCommerce ، هذا هو 5.5.2 * أو أعلى رقم ممكن في فرع الإصدار الخاص بك. إذا كنت تقوم أيضًا بتشغيل WooCommerce Blocks ، فيجب أن تستخدم الإصدار 5.5.1 من هذا المكون الإضافي.
هام : مع إصدار WooCommerce 5.5.2 في 23 يوليو 2021 ، تم إيقاف عملية التحديث التلقائي المذكورة أعلاه.
بعد التحديث إلى إصدار مصحح ، نوصي أيضًا بما يلي:
- تحديث كلمات المرور لأي مستخدم إداري على موقعك ، خاصةً إذا أعادوا استخدام نفس كلمات المرور على مواقع ويب متعددة
- تدوير أي بوابة دفع ومفاتيح WooCommerce API مستخدمة على موقعك.
يوجد المزيد من المعلومات حول هذه الخطوات أدناه.
* تم إصدار WooCommerce 5.5.2 في 23 يوليو 2021. الإصلاحات الواردة في هذا الإصدار غير مرتبطة بالثغرة الأمنية الأخيرة.
كيف أعرف ما إذا كان الإصدار الخاص بي محدثًا؟
يحتوي الجدول أدناه على القائمة الكاملة للإصدارات المصححة لكل من WooCommerce و WooCommerce Blocks. إذا كنت تقوم بتشغيل إصدار من WooCommerce أو WooCommerce Blocks غير موجود في هذه القائمة ، فيرجى التحديث فورًا إلى الإصدار الأعلى في فرع الإصدار الخاص بك.
| إصدارات WooCommerce المصححة | إصدارات كتل WooCommerce المصححة |
| 3.3.6 | 2.5.16 |
| 3.4.8 | 2.6.2 |
| 3.5.9 | 2.7.2 |
| 3.6.6 | 2.8.1 |
| 3.7.2 | 2.9.1 |
| 3.8.2 | 3.0.1 |
| 3.9.4 | 3.1.1 |
| 4.0.2 | 3.2.1 |
| 4.1.2 | 3.3.1 |
| 4.2.3 | 3.4.1 |
| 4.3.4 | 3.5.1 |
| 4.4.2 | 3.6.1 |
| 4.5.3 | 3.7.2 |
| 4.6.3 | 3.8.1 |
| 4.7.2 | 3.9.1 |
| 4.8.1 | 4.0.1 |
| 4.9.3 | 4.1.1 |
| 5.0.1 | 4.2.1 |
| 5.1.1 | 4.3.1 |
| 5.2.3 | 4.4.3 |
| 5.3.1 | 4.5.3 |
| 5.4.2 | 4.6.1 |
| 5.5.1 | 4.7.1 |
| 5.5.2 | 4.8.1 |
| 4.9.2 | |
| 5.0.1 | |
| 5.1.1 | |
| 5.2.1 | |
| 5.3.2 | |
| 5.4.1 | |
| 5.5.1 |
لماذا لم يحصل موقع الويب الخاص بي على التحديث التلقائي؟
ربما لم يتم تحديث موقعك تلقائيًا لعدد من الأسباب ، من المحتمل أن يكون عدد قليل منها: أنت تشغل إصدارًا سابقًا للإصدار المتأثر (أدناه WooCommerce 3.3) ، تم تعطيل التحديثات التلقائية بشكل صريح على موقعك ، ونظام الملفات الخاص بك هو للقراءة فقط ، أو من المحتمل أن تكون هناك ملحقات متعارضة تمنع التحديث.
في جميع الحالات (باستثناء المثال الأول ، حيث لا تتأثر) ، يجب أن تحاول التحديث يدويًا إلى أحدث إصدار مصحح في فرع الإصدار الخاص بك (مثل 5.5.2 ، 5.4.2 ، 5.3.1 ، إلخ) ، كما هو مدرج في الجدول أعلاه.
هل تم اختراق أي بيانات؟
استنادًا إلى الأدلة المتوفرة حاليًا ، نعتقد أن أي استغلال كان محدودًا.
إذا تأثر أحد المتاجر ، فستكون المعلومات المكشوفة خاصة بما يخزنه هذا الموقع ولكنها قد تتضمن معلومات عن الطلب والعميل والمعلومات الإدارية.
كيف يمكنني التحقق مما إذا كان متجري قد تم استغلاله؟
نظرًا لطبيعة هذه الثغرة الأمنية ، والطريقة المرنة للغاية التي يسمح بها WordPress (وبالتالي WooCommerce) بمعالجة طلبات الويب ، لا توجد طريقة محددة لتأكيد الاستغلال. قد تتمكن من اكتشاف بعض محاولات الاستغلال من خلال مراجعة سجلات الوصول لخادم الويب الخاص بك (أو الحصول على مساعدة من مضيف الويب الخاص بك للقيام بذلك). الطلبات بالتنسيقات التالية التي تمت رؤيتها بين ديسمبر 2019 ومن المحتمل الآن تشير إلى محاولة استغلال:
- REQUEST_URI مطابقة التعبير العادي
/\/wp-json\/wc\/store\/products\/collection-data.*%25252.*/ - REQUEST_URI مطابقة التعبير العادي
/.*\/wc\/store\/products\/collection-data.*%25252.*/(لاحظ أن هذا التعبير غير فعال / بطيء التشغيل في معظم بيئات التسجيل) - أي طلب غير GET (POST أو PUT) إلى
/wp-json/wc/store/products/collection-dataأو/?rest_route=/wc/store/products/collection-data
الطلبات التي رأيناها تستغل هذه الثغرة الأمنية تأتي من عناوين IP التالية ، مع أكثر من 98٪ من العناوين الأولى في القائمة. إذا رأيت أيًا من عناوين IP هذه في سجلات الوصول الخاصة بك ، فيجب أن تفترض أنه تم استغلال الثغرة الأمنية:
-
137.116.119.175 -
162.158.78.41 -
103.233.135.21
ما هي كلمات المرور التي أحتاج إلى تغييرها؟
من غير المحتمل أن تكون كلمة مرورك قد تم اختراقها لأنها مجزأة.
يتم تجزئة كلمات مرور مستخدمي WordPress باستخدام الأملاح ، مما يعني أنه من الصعب جدًا كسر قيمة التجزئة الناتجة. يعمل أسلوب التجزئة المملح هذا على حماية كلمة مرورك بصفتك مستخدمًا إداريًا وأيضًا كلمات مرور أي مستخدمين آخرين على موقعك ، بما في ذلك العملاء. في حين أنه من الممكن أن يكون قد تم الوصول إلى النسخة المجزأة من كلمة مرورك المخزنة في قاعدة البيانات الخاصة بك من خلال هذه الثغرة الأمنية ، يجب أن تكون قيمة التجزئة غير قابلة للتمييز ولا تزال تحمي كلمات المرور الخاصة بك من الاستخدام غير المصرح به.
يفترض هذا أن موقعك يستخدم إدارة كلمات مرور WordPress القياسية للمستخدمين. اعتمادًا على المكونات الإضافية التي قمت بتثبيتها على موقعك ، قد يكون لديك كلمات مرور أو معلومات حساسة أخرى مخزنة بطرق أقل أمانًا.
إذا كان أي من المستخدمين المسؤولين على موقعك قد أعاد استخدام نفس كلمات المرور على مواقع ويب متعددة ، فإننا نوصيك بتحديث كلمات المرور هذه في حالة اختراق بيانات اعتمادهم في مكان آخر.
نوصي أيضًا بتغيير أي بيانات خاصة أو سرية مخزنة في قاعدة بيانات WordPress / WooCommerce الخاصة بك. قد يشمل ذلك مفاتيح واجهة برمجة التطبيقات والمفاتيح العامة / الخاصة لبوابات الدفع والمزيد ، اعتمادًا على تكوين متجرك الخاص.
كمطور امتداد أو مزود خدمة ، هل يجب علينا تنبيه تجار WooCommerce لدينا؟
إذا كنت تعمل مع أي متجر أو تاجر WooCommerce مباشر ، فنحن نشجعك على العمل معهم للتأكد من معرفتهم بهذه المشكلة ، و / أو تحديث متجرهم إلى إصدار آمن.
إذا كنت قد أنشأت امتدادًا أو تقدم خدمة SaaS تعتمد على WooCommerce API ، فنحن نشجعك على مساعدة التجار في إعادة تعيين المفاتيح للاتصال بخدمتك.
بصفتي صاحب متجر ، هل يجب عليّ تنبيه عملائي؟
ما إذا كنت تنبه عملائك أمر متروك لك في النهاية. ستختلف التزاماتك بإخطار العملاء أو إعادة تعيين أشياء مثل كلمات المرور اعتمادًا على تفاصيل مثل البنية التحتية لموقعك ، والمكان الجغرافي لك ولعملائك ، والبيانات التي يجمعها موقعك ، وما إذا كان موقعك قد تعرض للاختراق أم لا.
أهم إجراء يمكنك اتخاذه لحماية عملائك هو تحديث إصدارك من WooCommerce إلى إصدار تم تصحيحه بإصلاح هذه الثغرة الأمنية.
بعد التحديث ، نوصي بما يلي:
- تحديث كلمات المرور لأي مستخدم مسؤول على موقعك ، خاصة إذا كنت تعيد استخدام نفس كلمات المرور على مواقع ويب متعددة
- تدوير أي بوابة دفع ومفاتيح WooCommerce API مستخدمة على موقعك.
بصفتك مالك المتجر ، فإن قرارك في النهاية هو ما إذا كنت تريد اتخاذ احتياطات إضافية مثل إعادة تعيين كلمات مرور عملائك. يتم تجزئة كلمات مرور مستخدمي WordPress (وبالتالي WooCommerce) باستخدام الأملاح ، مما يعني أنه من الصعب جدًا كسر قيمة التجزئة الناتجة. يتم تطبيق نهج التجزئة المملح هذا على جميع كلمات مرور المستخدمين على موقعك ، بما في ذلك كلمات مرور عملائك.
هل لا يزال WooCommerce آمنًا للاستخدام؟
نعم.
مثل هذه الحوادث غير شائعة ، لكنها تحدث للأسف أحيانًا. هدفنا دائمًا هو الاستجابة على الفور والعمل بشفافية كاملة.
منذ معرفة الثغرة الأمنية ، عمل الفريق على مدار الساعة للتأكد من أن الإصلاح قد تم تنفيذه ، وتم إبلاغ مستخدمينا.
يسمح لنا استثمارنا المستمر في أمان النظام الأساسي بمنع الغالبية العظمى من المشكلات - ولكن في الحالات النادرة التي يمكن أن تؤثر على المتاجر ، فإننا نسعى جاهدين للإصلاح بسرعة والتواصل بشكل استباقي والعمل بشكل تعاوني مع مجتمع WooCommerce.
ماذا لو كان لا يزال لدي أسئلة؟
إذا كانت لديك أي مخاوف أو أسئلة أخرى بخصوص هذه المشكلة ، فإن فريقنا من مهندسي السعادة على استعداد للمساعدة - افتح تذكرة دعم.