Woocommerce 3.2.4 fix en beveiligingsrelease

Woocommerce 3.2.4 fix en beveiligingsrelease

WooCommerce 3.2.4 is nu beschikbaar. Dit is een beveiligingsrelease voor alle eerdere versies en we raden u ten zeerste aan om uw sites zo snel mogelijk bij te werken.

Versies 3.2.3 en eerder worden beïnvloed door een probleem waarbij query’s in cache binnen shortcodes kunnen leiden tot objectinjectie. Dit heeft te maken met de recente release van WordPress 4.8.3.

Dit probleem kan alleen worden misbruikt door gebruikers die inhoud kunnen bewerken en shortcodes kunnen toevoegen, maar we raden nog steeds alle gebruikers aan om WooCommerce 3.x te upgraden naar 3.2 om dit probleem te verhelpen.

Bovendien is onlangs gebleken dat de versies 3.0 en 3.1 last hadden van een bug waardoor iemand couponcodes van ID’s kon opzoeken met brute kracht.

Kortingscodes zijn geen vertrouwelijke informatie (ze kunnen worden gedeeld) en kunnen niet worden gebruikt zonder een bestelling te plaatsen, dus we denken dat dit een relatief laag risico is. Dit is echter nog een goede reden om naar 3.2 bij te werken omdat het niet wordt beïnvloed door de bug.

De WooCommerce 3.2.3 fix release is nu beschikbaar. U kunt het downloaden van WordPress.org of als een automatische update in uw beheerderspaneel.

~78 commits  zijn verwerkt in deze update. Lees de volledige changelog.

* Fix - Cache IDs in shortcodes rather than query objects.
* Fix - Fix float rounding issues in cart with currencies like Bitcoin.
* Fix - Prevent slashes appearing in shipping fields and inside meta keys when using quotes.
* Fix - Check valid data when filtering `wp_nav_menu_objects` to prevent conflicts.
* Fix - `get_total_ex_tax` should exclude fee taxes.
* Fix - Fix orders count in tax reports.
* Fix - Allow removing coupons from the cart, even if coupons are disabled.
* Fix - Prevent calculate_totals totals running too often.
* Fix - Set attributes during variation creation so all options are correctly displayed in cart forms.
* Fix - Grab description directly to pass through wc_format_content to prevent double sanitization.
* Fix - Fix db warnings when using the "Add Order Indexes" tool.
* Fix - Remove unnecessary html formatting in variation dimensions field.
* Fix - Fix WC_Customer_Download isset method.
* Fix - Removed class within class in admin meta boxes HTML.
* Fix - Fixed wrong `flex-control-nav` selector scope in `add-to-cart-variation.js`
* Fix - Allow variations to be added to cart from query string.
* Fix - Use `add_filter` for `comment_feed_where` hook.
* Fix - Change nocache_headers hook firing in the cache helper.
* Fix - Coupon min/max spend based on displayed subtotal.
* Fix - Fix event propagation on click in setup wizard and improve validation.
* Fix - API - Change how line items are saved in API so calculations are correct.
* Tweak - Hide downloads from admin emails.
* Tweak - Set placeholder for variation lxwxh field to that of the parent.
* Tweak - Improve the Add Payment Methods display so buttons are not shown when no payment methods support the feature.
* Localization - Update NJ tax rate.
* Localization - Add Belarusian ruble BYN.

Trackbacks en pingbacks

    Geen trackback of pingback beschikbaar voor dit artikel.

    Laat een reactie achter