WordPress hat nach dem Veröffentlichen des Patches ein automatisiertes Zwangsupdate veranlasst. Trotzdem könnten noch nicht alle Shops versorgt sein. Das Team hinter WooCommerce hat eine nicht näher spezifizierte, kritische Sicherheitslücke geschlossen. Diese wurde am Dienstag, dem 13. Juli 2021 von einem Sicherheitsexperten über das HackerOne-Sicherheitsprogramm von Automattic entdeckt. Die Sicherheitslücke betrifft die Versionen 3.3 bis 5.5 des WooCommerce-Plugins, sowie die Versionen 2.5 bis 5.5 des Plugins WooCommerce Blocks. Nach eigenen Angaben haben die Leute hinter WooCommerce sofort nach dem Bekanntwerden des Problems, die betroffenen Code-Abschnitte überprüft und basierend auf dieser Überprüfung einen Patch für jede, der mehr als 90 betroffenen Version erstellt. WordPress.org hat nach dem Veröffentlichen des Patches angefangen, diesen an die gefährdeten Shops zu verteilen. Diese Praxis der automatisierten Zwangsupdates wird nur sehr selten angewandt und zeigt damit deutlich, wie ernst das Problem war. Die Untersuchung der Sicherheitslücke und der Frage, ob auch Daten kompromittiert wurden, ist noch nicht abschließend beantwortet. Um das potenzielle Risiko zu minimieren, empfiehlt WooCommerce den Shop-Betreibern, nach dem Update des Shops, die Passwörter zu aktualisieren. Die Betreiber von Wordfence, einem Security-Plugin für WordPress, haben diese Lücke als SQL-Injection klassifiziert. Auch Wordfence empfiehlt den Shop-Betreibern, die vermuten, dass die Lücke in Ihren Shops ausgenutzt wurde, nach dem Shop-Update die Änderung der Passwörter und einen Blick in die Logs. Die betroffenen Nutzer sollten dort nach Anfragen an /wp-json/wc/store/products/collection-data, oder ?rest_route=/wc/store/products/collection-data suchen, die SQL-Anweisungen enthalten. Abfragezeichenfolgen, die %2525 enthalten, sind ein Indikator dafür, dass diese Sicherheitslücke im jeweiligen Shop ausgenutzt wurde.