WooCommerce haavoittuvuus (Store API) versioissa 8.1 – 10.4.2

Joulukuun 22. päivänä 2025 korjattu tietoturvaongelma saattoi tietyissä tilanteissa paljastaa vierastilausten tietoja. Katso koskeeko haavoittuvuus verkkokauppaasi ja miten päivitys varmistetaan oikein.

Haluatko kuulla lisää? Jätä puhelinnumerosi ja soitamme sinulle!

Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.
WooCommerce-logo ja teksti “Store API -haavoittuvuus 8.1–10.4.2” artikkelin esikuvana.

Tilaa tieto WordPress- ja WooCommerce-päivityksien sisällöstä sähköpostiisi

Haluatko pysyä ajan tasalla uusimmista WordPress- ja WooCommerce-päivityksistä? Pysy ajan tasalla – ilmoitamme sinulle sähköpostitse uusista versioista, korjauksista ja tärkeistä päivityksistä.

julkaistu 23.12.2025

WooCommerce haavoittuvuus (Store API): versiot, riskit ja päivitysohje

22.12.2025 julkaistu WooCommerce-päivitys korjasi Store API -rajapinnasta löytyneen haavoittuvuuden, joka liittyi vierastilausten tietojen suojaamiseen. Kyseessä ei ollut näyttävä massavuoto tai automaattisesti skannereilla löytyvä helppo kohde, vaan rajattu bug bounty -löytö, joka kohdistui kirjautuneisiin käyttäjiin ja Store API -kutsuihin. Silti vaikutusalue on merkittävä: haavoittuvuus koski koko WooCommerce 8.1 – 10.4.2 -versioita, eli erittäin isoa osaa kaupoista.

Tässä artikkelissa käydään läpi lyhyesti, mitä haavoittuvuus teki, mitä tietoa se saattoi vuotaa, millä versiolla paikkaat haavoittuvuuden sekä miten päivitys kannattaa asentaa. Mukana on myös WooCommercen julkaisema versiot -taulukko, jonka avulla näet suoraan, mikä on sopiva päivityspaketti omalle verkkokaupallesi.

Mitä Store API -haavoittuvuudessa tapahtui?

Haavoittuvuus löytyi WooCommercen Store API -rajapinnasta, jota käytetään etenkin:

  • Kassalohkojen (Blocks) taustalla
  • Headless- ja SPA-toteutuksissa (rajapintapohjaisissa verkkokaupparatkaisuissa)
  • Integraatioissa, jotka noutavat tai käsittelevät tilauksia API:n kautta

Tietoturvaongelman takia Store API -rajapinnassa kirjautunut asiakas olisi tietyissä poikkeustilanteissa voinut nähdä vierastilauksiin liittyviä tietoja. Vierastilauksilla tarkoitetaan tilauksia jotka on tehty siten, että asiakas ei ole luonut käyttäjätiliä tilauksen yhteydessä. Ongelma koski vain harvoin käytettyä teknistä rajapintaa, eikä sitä ollut mahdollista löytää tai hyödyntää ilman tarkkaa ennakkotietoa. Lisäksi käyttäjän oli oltava rekisteröitynyt ja kirjautuneena verkkokauppaan. Ongelma on ollut olemassa arviolta noin kahden vuoden ajan, eikä sen ajalta ole toistaiseksi tiedossa väärinkäyttöä.

Mahdollisessa väärinkäyttötilanteessa näkyviin olisi voinut tulla vierastilaukseen liittyviä tietoja:

  • Tilaajan nimi
  • Sähköposti ja puhelinnumero
  • Toimitus- ja laskutusosoite
  • Tilatut tuotteet ja niihin liittyvä metadata
  • Maksutavan tyyppi (ei korttinumeroita tai pankkitunnuksia)

Kyseessä on ennen kaikkea yksityisyys- ja tietosuojariski: väärä henkilö saattoi tietyissä olosuhteissa nähdä vierastilauksen tiedot, jotka eivät kuulu hänelle. Mistään koko tilauskantaa kaatavasta -virheestä ei siis ole kyse, mutta yksittäisten tilausten vuotaminen väärään paikkaan on silti riittävä syy reagoida nopeasti.

Mitä WooCommerceN KEHITTÄJÄTIIMI muutti korjauksessa?

Korjauksen tavoite oli yksi: estää vierastilausten tietojen tarkasteleminen ilman riittävää todentamista. Käytännössä se tarkoittaa, että:

  • Pelkkä tilaustunniste ei enää riitä.
  • Store API tarkistaa, että:
    • Tilausta tarkasteleva käyttäjä on siihen oikeutettu tai
    • Tarkastelija antaa oikeat, tilausta vastaavat laskutus-/tunnistetiedot

Lisäksi versioon. 10.4.3 sisältyi muutamia muita korjauksia ja parannuksia, mutta tietoturvan kannalta olellista on nimenomaan se, että Store API ei enää luovuta vierastilausten tietoja tilanteissa, joissa näin ei pitäisi käydä.

Automaattinen WooCommerce -päivitys?

Joidenkin tietojen mukaan WooCommercen kehittäjätiimi on pyytänyt WordPressin taholta, että he käynnistäisivät tässä tilanteessa automaattisen päivityksen kaikille verkkokaupoille haavoittuvuuden korjaamiseksi. Tämä päivitys olisi siinä mielessä erikoinen, että se ohittaisi esimekiksi wp-config.php -tiedostossa olevat estot lisäosien päivityksille. Kaikkien huolenpitoasiakkaidemme sivustot ovat jo kuitenkin päivitetty WooCommercen osalta ajanasalle, joten emme osaa sanoa varmaa tietoa siitä tuleeko tämä tapahtumaan, vai onko päivitys tehtävä ylläpitäjän toimesta perinteisellä tavalla.

Ovatko hakkerit hyödyntäneet haavoittuvuutta?

WooCommercen mukaan heillä ei ole havaintoja siitä, että haavoittuvuutta olisi käytetty hyväksi, mutta ongelma oli olemassa arviolta noin kahden vuoden ajan. Tämä on tyypillinen yhdistelmä: rajattu bugi, korkea periaatteellinen riski ja pitkä elinikä.

Tuleeko minun päivittää verkkokaupani ja jos niin milloin?

Haavoittuvuus koskee versioita 8.1.0–10.4.2. Tätä vanhemmat (alle 8.1) eivät ole tämän nimenomaisen bugin piirissä, mutta ovat muista syistä turhan vanhoja tuotantokäyttöön.

WooCommerce julkaisi kullekin tuetulle versiosarjalle oman minimiversion, johon päivittäminen riittää. Idea on, että sinun ei ole pakko hypätä heti uusimpaan 10.4.3 versioon jos olet tietoisesti pysynyt vanhemmassa sarjassa – kunhan et jää haavoittuvalle tasolle.

Alla taulukko yleisimmille käytössä oleville versioille soveltuvasta päivitysversiosta:.

Versiosarja (haavoittuva) -> Korjattu versio

  • WooCommerce 9.9.5 -> 9.9.6
  • WooCommerce 10.3.0–10.3.6 -> 10.3.7
  • WooCommerce 10.4.0–10.4.2 -> 10.4.3

Voit käydä tarkistamassa saataville olevat WooCommerce versiot osoitteesta: https://wordpress.org/plugins/woocommerce/advanced/

Kuinka päivitän uuden WooCommerce -version käyttöön?

  • Selvitä, mikä WooCommerce-versio on tällä hetkellä asennettuna.
  • Katso, mihin versiosarjaan se kuuluu (esim. 10.3.4 kuuluu sarjaan 10.3.0–10.3.6).
  • Päivitä vähintään taulukon “Korjattu versio” -sarakkeessa mainittuun versioon (esim. 10.3.7).
  • Mikäli olet versioissa 9.9.6, 10.3.7 tai 10.4.3, olet tämän haavoittuvuuden osalta suojassa ja tietosi on turvattu.

Käytännön ohje: miten WooCommercen päivitys kannattaa toteuttaa?

Alla on muutama yleinen ja toimivaksi havaittu tapa suorittaa WooCommerce -päivitys. Esimerkit eivät kuitenkaan takaa sitä, että sivustolla ei mikään mene pieleen päivityksen aikana. tämä johtuu siitä, että on olemassa paljon erilaisia ympäristöjä ja erilaisia verkkokauppoja omine erikoisuuksineen. Alla kuitenkin muutama vaihtoehtoinen tapa päivityksen suorittamiseen: 

1. Varmuuskopio tiedostot ja tietokanta
2. Selvitä WooCommercen nykyinen versio

  • Hallintapaneeli → Lisäosat → WooCommerce jakatso versionumero lisäosan tiedoista.
  • WP-CLI:llä: wp plugin list –update=available –fields=name,version,update_version,update

3. vertaa versiota taulukkoon ja mikäli versiosi on haavoittuva) katso edellisestä taulukosta vastaava “Korjattu versio”. Mikäli versiota ei ole mainittu taulukossa voit etsiä soveltuvan version osoitteesta: https://wordpress.org/plugins/woocommerce/advanced/
4. Päivitä korjattuun versioon

  • Hallintapaneeli → Lisäosat → WooCommerce riviltä ”Päivitä” painike, mikäli WooCommercen tiedoissa näkyvä versio vastaa taulukossa olevaa korjattua versiota. Odota, että päivitys päättyy – älä sulje ikkunaa tai vaihda välilehteä kesken päivityksen.
  • WP-CLI:llä komento: wp plugin update woocommerce – kun olet varmistanut että edellisessä vaiheessa wp komento ehdotti päivitystä oikeaan korjattuun versioon. 
  • HUOM! Osa hosting -palveluntajoajista eivät pidä ympäristöjä ajantasalla kovin aktiivisesti. Mikäli teet päivityksen wp-cli:n avulla, varmista käytössä oleva versio komennolla: wp –info

4. Testaa kriittiset toiminnot

Yhteenveto WooCommercen Store API:sta löydettiin haavoittuvuudesta

Haavoittuvuuden kautta kirjautunut käyttäjä saattoi tietyissä tilanteissa tarkastella vierastilausten tietoja. Vuotaa saattoi nimiä, yhteystietoja, osoitteita, tilattuja tuotteita ja maksutavan tyypin, mutta ei maksukorttinumeroita tai muita maksupalveluntarjoajan ylläpitämiä tietoja.

Haavoittuvuus koski versioita 8.1.0–10.4.2, ja se on korjattu edellä esitetyn taulukon mukaisissa korjausversioissa, esimerkiksi 10.4.3:ssa. Turvallinen toimintamalli: ota varmuuskopio, tarkista versio, päivitä vähintään sarjasi korjattuun versioon (tai uusimpaan), testaa kriittiset polut ja varmista toimivuus.

Pidä WooCommerce-kauppasi ajan tasalla

WooCommerce kehittyy jatkuvasti – ja niin tulisi kehittyä myös verkkokauppasi. Avosorsan WordPress-huolenpito varmistaa, että päivitykset tehdään oikeaan aikaan hallitusti, jolloin tietoturva ja toiminnallisuus pysyy hallinnassa ilman yllätyksiä.

Kommentoi

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Asiantuntijamme – kysy suoraan tekijältä

Kati Palm

Yrittäjä & viestinnän ja sisällön WordPress-asiantuntija

Kati on Avosorsan toinen perustaja, joka vastaa verkkosivujen sisällöistä, asiakaslähtöisestä viestinnästä ja käytettävyyden kehittämisestä. Hänellä on vahva tausta selkeän viestinnän, hakukonenäkyvyyden ja verkkokauppojen asiakaskokemuksen parantamisessa. Kati auttaa yrityksiä kertomaan viestinsä ymmärrettävästi ja vaikuttavasti – olipa kyse yrityssivuista, blogista tai GDPR-tiedotteista.

📞 +358 44 251 2827
✉️ [email protected]
💬 WhatsApp

Ajankohtaista WP blogissa

WordPress päivitykset 6.9 yrityssivustolla ja verkkokaupassa käytännössä.

WordPress päivitykset ja versio 6.9 – mitä uutta ja miksi päivitys kannattaa tehdä

'julkaistu: 15.12.2025

WordPress 6.9 on merkittävä päivitys yrityssivustoille ja verkkokaupoille. Artikkelissa käydään läpi, miten päivitys vaikuttaa suorituskykyyn, sisällönhallintaan ja sivuston ylläpitoon, mitä muutoksia se tuo kauppiaalle ja kehittäjälle sekä miksi päivityksen ajoitus kannattaa harkita huolellisesti. Mukana myös käytännön ohjeet, huomioitavat riskit ja näkökulma tuleviin automaatio- ja tekoälyratkaisuihin.

Tutustu uusiin ominaisuuksiin ja siihen miten uudet ominaisuudet vaikuttavat sivustoosi?
WooCommerce 10.4 -päivityksen tunnuskuva violetilla taustalla.

WooCommerce 10.4: Yhteenveto kauppiaalle

'julkaistu: 11.12.2025

WooCommerce 10.4 tuo lisää vakautta ja suorituskykyä – selvitä, miten päivitys vaikuttaa kauppasi myyntiin ja tilauksiin.

Katso miten päivitys vaikuttaa kauppaasi
WooCommerce 10.3 päivitys nopeuttaa verkkokauppaa ja helpottaa maksamista.

WooCommerce 10.3 – Kattava opas verkkokauppiaalle

'julkaistu: 24.10.2025

WooCommerce 10.3 tuo kauppiaille uuseita hyötyjä! Kustannusten seuranta ilman lisäosia, nopeampi kassa osoiteautomaatiolla sekä parannettu tietoturva ja maksujen toimivuus. Lue, miten päivitys kannattaa asentaa turvallisesti ja mitä hyötyä siitä on verkkokaupiaalle.

Katso, mitä WooCommerce 10.3 tuo kauppiaalle
WordPress 6.8.3 turvallisuuspäivitys – korjaa XSS- ja tietovuoto-haavoittuvuudet.

WordPress 6.8.3 – kriittinen tietoturvapäivitys

'julkaistu: 03.10.2025

WordPress 6.8.3 on kriittinen päivitys, joka paikkaa pitkään olleet haavoittuvuudet, kuten XSS- ja tietovuoto-aukot. Lue, miten suojaat sivustosi nopeasti ja tehokkaasti tällä tärkeällä tietoturvapäivityksellä.

Lue artikkeli WordPress 6.8.3 -päivityksestä!
WooCommerce 10.2 -päivityksen uudet ominaisuudet ja korjaukset WordPress-verkkokauppaan.

WooCommerce 10.2 – ominaisuudet, korjaukset ja WordPress 6.9

'julkaistu: 29.09.2025

WooCommerce 10.2 tekee verkkokaupasta entistä tehokkaamman.

Uusi päivitys tuo tuotekarusellit, kehittyneet suodattimet, interaktiiviset tähtiarvioinnit ja Back in Stock -ilmoitukset. Kassan virheet on korjattu, raportointi on luotettavampaa ja AVIF-kuvat nopeuttavat sivujen latausta. Lisäksi päivitys varmistaa yhteensopivuuden tulevan WordPress 6.9 -version kanssa.

Lue, miten nämä uudistukset parantavat asiakaskokemusta ja kasvattavat myyntiä.
WooCommerce 10 -versio esittelykuvassa – myyntiä kasvattava verkkokauppapäivitys.

WooCommerce 10: Kasvata verkkokauppasi myyntiä uusilla ominaisuuksilla

'julkaistu: 04.08.2025

WooCommerce 10 tuo myyntiä kasvattavia ominaisuuksia suoraan verkkokauppaasi. Parannettu ostokokemus, älykkäämmät kampanjat ja jaettavat kassalinkit tekevät kaupankäynnistä sujuvampaa – ja tuloksellisempaa.

Näytä WooCommerce 10 -päivityksen hyödyt
Scroll to Top