El 3 de diciembre de 2024, WooCommerce lanzó las versiones 9.4.3 y 9.3.4, centradas en mejoras de seguridad esenciales para la plataforma. Estas actualizaciones de seguridad abordan vulnerabilidades relacionadas con el manejo de URLs, la validación de datos de eventos y los controles de pago para usuarios invitados.
Refuerzo en la seguridad de wc_get_cart_url contra vulnerabilidades XSS
En la versión 9.3, se modificó la función wc_get_cart_url para que, además del enlace permanente de la página del carrito, incluyera la cadena de consulta en la URL devuelta. Aunque esta función no estaba documentada explícitamente para devolver una URL escapada, muchos complementos ya gestionaban adecuadamente su salida. Sin embargo, en casos donde no se realizaba esta gestión, la modificación incrementó el riesgo de vulnerabilidades XSS. Por ello, en las versiones 9.4.3 y 9.3.4, se ajustó wc_get_cart_url para devolver únicamente enlaces permanentes, fortaleciendo la seguridad contra ataques XSS. Se recomienda a los desarrolladores de complementos y extensiones que aseguren la correcta gestión de las URLs retornadas por funciones como wc_get_cart_url.
Nota importante sobre WooCommerce 9.3.4
Los usuarios de la versión 9.3.x podrían no recibir automáticamente la notificación para actualizar a la 9.3.4. Para aplicar este parche de seguridad manualmente, es necesario descargar WooCommerce 9.3.4 directamente desde WordPress.org. Aunque se ofrezca la actualización a la versión 9.4.2, se aconseja implementar primero este parche de seguridad si aún no se está preparado para migrar a la serie 9.4.x.
Otras actualizaciones en la versión 9.4.3
Además de las mejoras mencionadas, la versión 9.4.3 incluye:
- Validación y saneamiento de datos de eventos para prevenir ataques XSS en el flujo de «Personaliza tu tienda».
- Corrección para impedir el pago por parte de invitados en el endpoint de la API de la tienda cuando esta opción está deshabilitada.
Estas actualizaciones refuerzan la seguridad y estabilidad de WooCommerce, garantizando una experiencia más segura tanto para los propietarios de tiendas en línea como para sus clientes. Puedes ver la noticia original en el portal del desarrollador de woocommerce.
