Im Rahmen des Updates auf Germanized Pro 3.0.17 haben wir ein Sicherheitsproblem behoben. Die Versionen Germanized Pro 3.0.11 bis 3.0.16 beinhalteten Code, der dazu führen kann, dass über die REST API Rechnungsdaten (und damit Kundendaten) von Gastbestellungen ohne Authentifizierung abrufbar sind. Der Bug wurde von uns in 3.0.17 behoben.
Vielen Dank an Christoph Trassl für die Meldung des Problems und für dein Responsible disclosure.
Ist meine Installation betroffen?
Deine Installation ist unter folgenden Bedingungen betroffen:
- Du hast Germanized Pro in der Version 3.0.11 – 3.0.16 installiert
- Du erlaubst in deinem WooCommerce Shop Gastbestellungen
- Du nutzt die Germanized Pro Rechnungslegung
- Du hast die REST API von WordPress/WooCommerce aktiviert
Was sollte ich tun, wenn ich betroffen bin?
Du solltest nun dringend Germanized Pro auf Version 3.0.17 oder neuer aktualisieren. Du solltest im Zweifel deine Server-Logs prüfen (lassen). Zugriffe nach folgendem Schema könnten Indikatoren dafür sein, dass Daten ggfs. unberechtigt abgerufen wurden:
GET: sab/v1/invoices/{invoice_id}/pdf
Dabei solltest du natürlich sicherstellen, dass es sich beim Abruf nicht um deine IP oder die IP-Adresse des Servers handelt.
Wir haben bisher keine Anzeichen (oder Meldungen) darüber, dass das Problem aktiv ausgenutzt wird, um Rechnungsdaten abzugreifen. Solltest du Hinweise dazu haben, melde dich gern bei uns.
Was ist, wenn ich noch Germanized Pro v2 verwende?
Falls du noch nicht Germanized Pro 3.X verwenden solltest, brauchst du dir keine Sorgen zu machen. Auch die Basis-Version von Germanized ist nicht betroffen.
Was machen wir damit das nicht wieder passiert?
Bei der Entwicklung von Germanized Pro arbeiten wir mit automatisierten Tests (sog. Unit-Tests) um vor dem Veröffentlichen von neuen Version viele Fehlerquellen automatisch zu eliminieren bzw. zu finden. Wir haben unsere Tests um weitere Test-Cases erweitert, damit dieses Problem nicht erneut auftritt.