search

TransbankDevelopers / transbank-plugin-woocommerce-webpay-rest

Código fuente de Plugin WooCommerce para Transbank Webpay Rest
BSD 3-Clause "New" or "Revised" License
19 stars 14 forks source link

Update repositorio wordpress #124

Closed truchosky closed 1 year ago

truchosky commented 1 year ago

ya no aparecen las actualizaciones directamente en wordpress?, me quedé en la 1.6.3

TCattd commented 1 year ago

Fue (es) un bug de seguridad (crítica) lo que hizo que el plugin no esté, por ahora, en wordpress.org

Bug del que avisaron de forma tibia vía email a sus clientes: https://shottr.cc/s/CSIu/SCR-20230508-kslr.png

Digo tibio, porque no hacen énfasis en lo crítico que es actualizar para evitar el bug de inyección SQL que parcharon: https://github.com/TransbankDevelopers/transbank-plugin-woocommerce-webpay-rest/releases 1.6.7: https://shottr.cc/s/CTdo/SCR-20230508-ksur.png

Ahora, es probable que no hayan tenido opción, en que todo esto ocurriera como vemos que está aconteciendo ahora. Ver: https://wordpress.org/plugins/transbank-webpay-plus-rest/ Mensaje: https://shottr.cc/s/CsB4/SCR-20230508-ktde.png Ese mensaje dice que el equipo de WordPress mismo dio de baja el plugin, y se espera una revisión completa del mismo (por parte del desarrollador). O sea, pudo ser el equipo de wordpress.org o un tercero el que dio aviso del bug de seguridad al equipo de wordpress.org, y este hizo lo que hace por protocolo ( https://developer.wordpress.org/plugins/wordpress-org/plugin-security/reporting-plugin-security-issues/ ): ponerlo en pausa y avisar al desarrollador para que solucione el bug. Super bien. Divulgación responsable.

Transbank, como muestra el pantallazo, ya envió el plugin actualizado al repositorio de wordpress.org. El pero es que, en este punto, están a merced del equipo de plugins de WordPress. Deben esperar. No pueden hacer nada para acelerar el proceso. Como decía, no tuvieron ni tienen opción. No creo que hayan pedido bajar el plugin del repositorio. Se los bajaron, por seguridad (protocolo). Y están a la espera de la revisión (manual) del equipo de plugins de wordpress.org

Estuvo bien que Transbank avise vía email sobre la actualización del plugin a los clientes. El problema fue la forma poco urgente de aclarar (o no decir) que la actualización tiene un problema no menor (serio) de seguridad para quién mantenga la versión vieja del plugin instalada (SQL injection), y que no tiene que ver con que el plugin deje de funcionar ni procesar transacciones (por ahora), como lo hacen ver en un principio del aviso por correo.

Esto último (de parte de Transbank), a mi parecer, no estuvo bien.

Esteban

felipebrunet commented 1 year ago

Hola, De momento entonces para actualizar a la version actual hay que borrar la 1.6.3, subir el .zip 1.6.8 e instalar cierto? O crees que es mejor esperar a que Wordpress lo suba al repositorio? Gracias,

TCattd commented 1 year ago

@felipebrunet de todas maneras deberías actualizar a mano, hoy mismo, descargando el último release desde https://github.com/TransbankDevelopers/transbank-plugin-woocommerce-webpay-rest/releases

No esperes. La actualización resuelve problemas de seguridad.

WordPress te debería dejar subir el zip del plugin desde el mismo wp-admin, y te preguntará si deseas reemplazar la versión anterior del plugin, con la más nueva (la que estás subiendo).

Esteban

felipebrunet commented 1 year ago

@TCattd Perfecto. Si, lo acabo de actualizar. No sabia que si uno sube un .zip de un plugin previamente instalado, wordpress lo reconocera como existente. Bueno saberlo. Gracias.

juliohv-chile commented 1 year ago

Hola , disculpen mi pregunta. Yo nunca actualice módulos subiendo el ZIP porque las veces que lo hice lo instaló como uno nuevo y nunca lo reemplazó, en su defecto yo lo hacía por FTP. Puede ser que se implementó esto en versiones nuevas del WP por que aclaro que mis pruebas fueron hechas hace muchos años.

Gracias

Julio Herrera

El mié, 24 may 2023 a la(s) 12:57, felipebrunet @.***) escribió:

@TCattd https://github.com/TCattd Perfecto. Si, lo acabo de actualizar. No sabia que si uno sube un .zip de un plugin previamente instalado, wordpress lo reconocera como existente. Bueno saberlo. Gracias.

— Reply to this email directly, view it on GitHub https://github.com/TransbankDevelopers/transbank-plugin-woocommerce-webpay-rest/issues/124#issuecomment-1561600126, or unsubscribe https://github.com/notifications/unsubscribe-auth/AG33RY3BLTS25TGIHG72DW3XHY4YXANCNFSM6AAAAAAV55SSSA . You are receiving this because you are subscribed to this thread.Message ID: <TransbankDevelopers/transbank-plugin-woocommerce-webpay-rest/issues/124/1561600126 @github.com>

-- Julio Herrera Santiago Chile

TCattd commented 1 year ago

@juliohv-chile se puede, hace un buen tiempo ya:

https://wordpress.org/documentation/wordpress-version/version-5-5/

Ver "Update by uploading ZIP files".

truchosky commented 1 year ago

a diferencia de otros plugins wordpress no reconoce la nueva version de transbank para "reemplazar" la version anterior, simplemente instala otro transbank completamente nuevo, asi que por lo menos yo hasta el momento cada vez que sale un zip nuevo borro el plugin anterior

mastudillot commented 1 year ago

Esto ya fue solucionado, como comentaron se encontró una vulnerabilidad la cual fue solucionada y el plugin ya se encuentra nuevamente disponible.