CVE-2021-32790

Versões 3.3.0 a 3.3.5 do WooCommerce

Um problema de injeção de SQL afeta sites do WooCommerce que executam o plugin nas versões entre 3.3.0 e 3.3.5. Agentes mal-intencionados com acesso de administrador ou chaves de API podem explorar pontos de extremidade vulneráveis, como “/wp-json/wc/v3/webhooks” e “/wp-json/wc/v2/webhooks”. Ao criar cuidadosamente o parâmetro search, informações podem ser divulgadas por meio de ataques de temporização e similares, embora os dados não sejam retornados diretamente.

Para as versões 3.3.0 a 3.3.5, atualize para a versão 3.3.6 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos endpoints vulneráveis “/wp-json/wc/v3/webhooks” e “/wp-json/wc/v2/webhooks” para minimizar o risco de exploração. Evite usar o parâmetro search nos endpoints da API afetados até que o problema seja resolvido.