Una falla en su Store API fue parchada sin evidencias de explotación, pero refuerza la importancia de mantener los sistemas de ecommerce siempre al día.
Una alerta de seguridad emitida por WooCommerce puso en aviso a miles de comercios electrónicos en todo el mundo. La plataforma confirmó el hallazgo de una vulnerabilidad en su sistema que ya fue corregida mediante una actualización, recomendando a todos los usuarios con versiones 8.1 o superiores instalar cuanto antes la versión 10.4.3.
De acuerdo con la información oficial, no existen indicios de que esta falla haya sido explotada. Aun así, el anuncio no pasó desapercibido: el problema estaba presente desde hace aproximadamente dos años y afectaba a uno de los componentes más sensibles del ecommerce moderno, la Store API, encargada de gestionar procesos clave como pedidos y compras.
La vulnerabilidad permitía que un cliente registrado y autenticado pudiera acceder, bajo condiciones muy específicas, a información de pedidos realizados por clientes invitados, es decir, compradores que completaron su compra sin crear una cuenta. El acceso no era trivial ni automático: requería conocer un endpoint concreto de la API y contar con credenciales válidas dentro de la tienda, lo que reducía significativamente el riesgo de abuso masivo.
En un escenario hipotético de explotación, los datos que podrían haberse visualizado correspondían a información personal y operativa del pedido: nombre del cliente, correo electrónico, número telefónico, direcciones de envío y facturación, método de pago utilizado y productos adquiridos. WooCommerce aclaró que no se expusieron datos financieros sensibles, como números de tarjetas de crédito u otra información bancaria.
Tras recibir el reporte de un investigador de seguridad, el equipo técnico actuó con rapidez. Se desarrollaron parches para 23 versiones afectadas, desde la 8.1 hasta la 10.4.2, y se realizaron pruebas para garantizar que la corrección no impactara en la estabilidad ni en la operación diaria de las tiendas. El resultado fue la liberación de la versión 10.4.3 como actualización recomendada.
Para muchos comercios alojados en servicios gestionados —como WordPress.com, Pressable, WordPress VIP o infraestructuras basadas en WP Cloud— la actualización ya se aplicó de forma automática. Sin embargo, WooCommerce aconseja verificar manualmente la versión instalada desde el panel de administración de WordPress y proceder a la actualización en caso de ser necesario.
Más allá del aspecto técnico, el incidente deja un mensaje claro para quienes venden online: la seguridad no depende únicamente de la plataforma, sino también de la disciplina con la que los comercios gestionan actualizaciones, configuraciones y buenas prácticas. La transparencia con la que WooCommerce comunicó el hallazgo y su rápida respuesta refuerzan la confianza en el ecosistema, pero también recuerdan que una tienda desactualizada es una puerta abierta al riesgo.
Desde ENRED seguiremos atentos a este tipo de alertas que impactan directamente en la confianza digital y en la protección de datos de compradores y negocios, dos factores cada vez más decisivos en el crecimiento del comercio electrónico.