We nemen contact met je op om je te laten weten dat een beveiligingslek dat is ontdekt in WooCommerce inmiddels is verholpen. Als je webshop draait op WooCommerce versie 8.1 of nieuwer, raden we aan zo snel mogelijk te updaten naar de nieuwste versie, WooCommerce 10.4.3. Op dit moment hebben we geen aanwijzingen dat dit beveiligingslek is misbruikt.
Als je gebruik maakt van onze Managed CMS, dan zou de patch al toegepast moeten zijn. Je kunt je versie controleren door de onderstaande stappen te volgen.
Wat je moet doen
Hoewel er geen aanwijzingen zijn dat dit beveiligingslek is misbruikt, moet je WooCommerce zo snel mogelijk updaten naar de nieuwste gepatchte versie, 10.4.3. Dit kun je doen door:
- Ga naar Dashboard → Updates in je WordPress‑beheer.
- Selecteer WooCommerce.
- Als je huidige WooCommerce‑versie 10.4.3 is, hoef je niets te doen.
- Als je niet versie 10.4.3 gebruikt, of als je “Nu updaten” ziet staan, klik dan op die link om de nieuwste versie te installeren.
Wat er is gebeurd
Een beveiligingsonderzoeker heeft onlangs een kwetsbaarheid gemeld in de Store API van WooCommerce, waarmee ingelogde klanten mogelijk bestelgegevens konden bekijken van gastklanten (klanten die hebben afgerekend zonder een account aan te maken). Zodra we op de hoogte waren van het probleem, heeft ons team patches ontwikkeld en uitgerold voor alle getroffen versies.
Ons onderzoek bevestigde dat deze kwetsbaarheid:
- Vereiste dat een gebruiker een zeer specifieke API‑endpoint benaderde, die zonder voorkennis van de exploit niet te ontdekken was.
- Alleen informatie zichtbaar kon maken van bestellingen van gastklanten.
- Vereiste dat de gebruiker een geregistreerd account had en ingelogd was in de webshop.
- Ongeveer twee jaar heeft bestaan zonder bekende misbruikgevallen.
Welke informatie mogelijk betrokken was
Als de kwetsbaarheid was misbruikt, had deze informatie van gastbestellingen kunnen blootstellen, waaronder namen, e‑mailadressen, telefoonnummers, verzend‑ en factuuradressen, gebruikte betaalmethodetypen en gekochte artikelen. Er zouden geen creditcard‑ of andere financiële gegevens zichtbaar zijn geweest.
Na het ontdekken van de kwetsbaarheid heeft het Woo‑team direct patches ontwikkeld voor alle 23 getroffen WooCommerce‑versies (8.1 t/m 10.4.2) en uitgebreid getest om te zorgen dat de patches het probleem oplossen zonder de functionaliteit van webshops te verstoren.
Als je vragen of zorgen hebt, kun je contact opnemen met onze klantenservice.