最受欢迎的Web内容管理系统(CMS)是WordPress,其超过所有网站的30%。通过扩展,最受欢迎的电子商务平台在世界上是Woocommerce,一个插件,将WordPress网站转变为在线商店。事实上,Woocommerce非常受欢迎,这不仅仅是WordPress软件生态系统的一部分,它也拥有自己的软件生态系统。

有数百名WordPress插件,用于设计为与Woocommerce合作或延长以某种方式插入,其中许多人在自己的权利中是成熟的商业软件产品。其中一个产品是一个打电话的流行延期Woocommerce动态定价和折扣必威唯一官方,这卖出了少于70美元,并已购买近20,000次。

如果您的网站正在运行该插件,则需要将其更新为2.4.2版。

研究人员最近发现影响2.4.1及以下的多个安全漏洞。这些漏洞已在版本2.4.2中得到修复,该版本于2021年8月22日发布。

漏洞

第一个漏洞是一个高度严重的存储跨站点脚本(XSS)错误。跨站点脚本(XSS)是一种安全漏洞,允许攻击者将客户端脚本注入由其他用户查看的网页。

研究人员发现,脆弱的代码错过了两个重要的检查:能够确保用户被授权进行特定事项的能力检查,以及试图确保并回答Web请求的安全Nonce(短暂的“编号”)经过the same site, and that the request didn’t come from an imposter running a cross-site request forgery (CSRF) attack.

没有功能检查易受攻击的功能 - 允许用户导入插件设置 - 可供任何人,包括攻击者。由于某些设置字段没有消毒,因此攻击者可以使用该漏洞将JavaScript代码注入导入的JSON编码文件。

第二个漏洞存在于插件的设置导出功能中,该功能也缺少能力检查。在这种情况下,未经身份验证的攻击者可以导出插件的设置,将javasript代码注入生成的json文件,然后使用第一个漏洞恢复包括恶意javascript的设置。

可能的后果

JavaScript代码可用于执行各种恶意活动,从窃取饼干传播恶意软件。在这种情况下,也可以使用HTML标记替换JavaScript代码,例如可用于将访问者重定向到恶意网站的元刷新标记。

由于通过设置进口到Woocommerce的代码导致Woocommerce Mativing和折扣,因此在WoocomceCe商店的每个产品页面上运行,必威唯一官方因此它看起来像信用卡撇渣器的理想漏洞(恶意代码在进入时阅读信用卡详细信息结账表格)。

正如我们去年报道的那样,Woocommerce越来越多地被犯罪分子瞄准,因为它的市场份额大。我们在Malwarebytes的威胁情报高级总监JérômeSegura向JérômeSegura询问,以及斯皮姆斯的狂热跟随者,如必威平台APP何使用它们对脆弱性做出反应。

“两个常见的错误网站所有者经常使他们的内容管理系统(CMS)留下来,并认为它们不是一个有趣的目标。在许多情况下,用户可以选择不适用安全更新,因为他们担心它可能会介绍错误甚至可以妥善加载网站。虽然这是真的,它为在线犯罪分子以大规模利用已知的漏洞创造了一个完美的机会。

Magento,Woocommerce和其他几个CMSE经常被滥用了一些原因。如果您的网站是电子商务,那么由于威胁演员不仅可以针对您的客户以及Magecart等攻击中的客户以及他们的财务数据,它变得更加有趣。

及时应用更新是必需品,如果由于另一个原因是不可能的,则存在其他解决方案,例如Web应用程序防火墙,以阻止已知和未知的自动攻击。“

减轻

当使用CMS时,尤其是流行的CMS时,您将不得不注意更新 - 对于CMS本身和已安装的任何插件。速度很重要。攻击者始终了解最新的漏洞,并将扫描互联网以获取未划分的网站劫持,有时在替补贴片后的时间内。

为了安全地进行在线购物,建议尽可能多的预防措施。有浏览器和浏览器配置这将有助于您对斯皮姆斯,恶意重定向和其他不受欢迎的代码来帮助您抵御您正在访问的网站上的恶意重定向和其他不受欢迎的代码。

保持安全,每个人!