Sumber Logo WooCommerce - WooCommerce
Sekiranya anda pernah memiliki laman web eCommerce, ada kemungkinan hampir peratus anda mesti mendengar tentang WooCommerce, plugin yang popular untuk laman web eCommerce. Dengan kekuatan lebih dari 35% laman web eCommerce di internet, dan dengan lebih daripada 4 juta pemasangan, WooCommerce adalah salah satu plugin yang paling dipercayai bagi pengguna yang ingin memiliki kedai dalam talian sendiri. Sekiranya anda pengguna plugin WooCommerce, maka ada beberapa berita penting yang tidak boleh anda lewatkan.
Teknikal
Simon Scannell, penyelidik di RIPS Technologies GmbH, ditemui kerentanan dalam pemalam (kredit kepada Berita Hacker kerana mencari blogpost), yang dilapor membenarkan pengguna istimewa yang berniat jahat atau berkompromi untuk mendapatkan kawalan penuh ke atas laman web, dengan syarat mereka menggunakan versi pemalam yang belum ditandingi. Huraian kerentanan di blog Simon berbunyi seperti berikut:
Kekurangan dalam cara WordPress menangani hak istimewa boleh menyebabkan peningkatan hak istimewa dalam pemalam WordPress. Ini mempengaruhi misalnya WooCommerce, pemalam e-dagang yang paling popular dengan lebih daripada 4 juta pemasangan. Kerentanan memungkinkan pengurus kedai untuk menghapus fail tertentu di pelayan dan kemudian mengambil alih mana-mana akaun pentadbir.
Lebih jauh Simon mendedahkan perincian teknikal mengenai eksploitasi di pos blognya. Dia mengungkapkan bagaimana Wordpress secara automatik mengizinkan akaun dengan ' pengguna_ edit 'Kebenaran untuk mengedit kelayakan akaun pentadbir juga. Tetapi, plugin seperti WooCommerce menggabungkan keupayaan meta, yang dilaksanakan sebagai fungsi, dan yang nilai pengembaliannya memutuskan sama ada pengguna semasa dapat melakukan tindakan itu atau tidak. Ini menghalang Pengurus Kedai daripada mengedit akaun pentadbir.
Kekurangannya
Kelemahan utama cara Wordpress menangani keistimewaan akaun ini, adalah bahawa kemampuan meta dari plugin yang diberikan dapat dilaksanakan jika dan hanya jika plugin aktif. Sekiranya kebetulan, plugin WooCommerce dilumpuhkan, maka semua pengguna menggunakan akaun ' pengguna_ edit 'Kebenaran akan dapat bermain-main dengan akaun pentadbir juga, dan dengan itu mengambil alih seluruh laman web.
Walaupun, hanya pentadbir yang dapat mematikan pemalam, kerentanan penghapusan fail sewenang-wenangnya di WooCommerce membolehkan pengurus kedai untuk menghapus sebarang fail di pelayan yang boleh ditulis. Kerentanan ini dapat digunakan untuk menonaktifkan WooCommerce itu sendiri, dan dengan itu menyingkirkan semua sekatan pada akaun pengurus kedai, kerana ' Dengan menghapus fail utama WooCommerce,woocommerce.php, WordPress tidak dapat memuatkan pemalam dan kemudian melumpuhkannya ”Seperti yang dikatakan Simon di blognya.
Penyelesaian
Walaupun kerentanannya cukup kritikal, berita baiknya adalah demikian ditampal dalam versi 3.4.6 WooCommerce, bulan lalu. Sekiranya anda menggunakan WooCommerce di laman web anda, sangat disyorkan agar anda mengemas kini plugin WooCommerce dan Wordpress itu sendiri , untuk memastikan anda menyingkirkan kerentanan di atas.
Teg Keselamatan WordPress
![Gandingan Gagal: Jam Tangan Apple Anda Tidak Dapat Berpasangan dengan iPhone Anda [FIX]](https://jf-balio.pt/img/how-tos/72/pairing-failed-your-apple-watch-couldn-t-pair-with-your-iphone.png)
