WooCommerce 5.7.0修补可能泄露分析报告的安全问题

WooCommerce本周早些时候通过对一些用户的强制更新发布了5.7.0版。次要版本并未被视为安全更新，但第二天 WooCommerce发布了一篇文章，解释说该插件容易在某些托管配置上泄露分析报告：

2021年9月21日，我们的团队发布了一个安全补丁，以解决某些主机使用的服务器配置设置问题，这些设置在适当的条件下可能会 公开一些分析报告。

据WPScan称，这在技术上被归类为访问控制漏洞。

WordPress.org从9月21日开始向受影响的商店推送自动更新，适用于所有未明确禁用自动更新的网站。WooCommerce团队为4.0.0的18个版本创建了一个补丁，以及WooCommerce Admin插件的17个补丁版本。那些文件系统设置为只读或运行早于4.0.0的WooCommerce版本的人将不会收到自动更新，应该继续手动更新他们的网站。

WooCommerce建议用户更新到最新版本，现在是5.7.1，或者您的发布分支中可能的最高版本。安全公告帖子详细说明了商店所有者如何检查他们的报告文件是否已被下载。

超过500万个WordPress网站使用WooCommerce。在发布时，59.8% 运行在5.4或更低版本上。只有12.8%的用户使用最新的5.7.x版本。由于WordPress.org仅显示用户已安装的主要分支的细分，因此无法查看有多少站点仍易受攻击。一些运行旧版本的网站所有者可能仍在积极应用安全补丁，但不准备更新到最新版本。

WooCommerce 5.7.1在团队收到多份关于5.7.0更新后网站损坏的报告后于今天早些时候发布。此版本包括对先前更新中发现的回归和新错误的修复。