WooCommerce修補了允許垃圾郵件機器人在結帳時創建帳戶的漏洞

woocommerce-logo WooCommerce修補了允許垃圾郵件機器人在結帳時創建帳戶的漏洞

WooCommerce 4.6.2 於昨天發布,其中包含一個漏洞修復程序,即使禁用了「允許客戶在結帳時創建帳戶」設置,該漏洞仍允許在結帳時創建帳戶。 WooCommerce團隊在數十位用戶之後發現了它 已報告 他們的網站收到了垃圾郵件訂單,或者是付款失敗的「失敗訂單」。

WooCommerce開發人員Rodrigo Primo描述了該機器人如何攻擊商店:

其要點是,機器人可以在下訂單時利用4.6.2中修復的錯誤來創建用戶。 創建用戶後,該漫遊器會嘗試查找該站點上安裝的其他插件中的漏洞,這些漏洞需要未經特權的身份驗證帳戶。

WooCommerce建議用戶更新至4.6.2,以阻止bot在結帳時創建用戶,然後刪除該bot先前創建的所有帳戶。 這不會阻止機器人創建虛假訂單,因此建議店主 安裝其他垃圾郵件防護 從WooCommerce市場。 支持論壇中的一些用戶正在嘗試免費插件,例如 先進的noCaptcha和隱形驗證碼WooCommerce的防欺詐插件

首先 記錄實例 發生在WooCommerce能夠發布修復程序的9天之前。 同時,一些用戶報告說他們的站點的URL發生了更改,並進行了其他黑客攻擊嘗試。 Dave Green,WordPress工程師 使用日誌文件來確定腳本是否依賴利用其他漏洞來獲得對資料庫的訪問。

「該腳本正在創建訂單,並且還可能利用任何可用的漏洞繞過客戶帳戶設置並創建新用戶; 它可能或可能不依賴其他漏洞利用,」 Green 說過

「假設它已成功獲得對系統的訪問許可權,那麼它將嘗試更新資料庫。 它要麼失敗並給您帶來麻煩,要麼成功並把您的站點指向欺詐URL。」

WooCommerce團隊還修復了此錯誤 WooCommerce區塊3.7.1,當相關設置被禁用時,防止結帳創建帳戶。

WooCommerce沒有發布任何具有此腳本所利用的漏洞的擴展名。 但是,一些用戶 已報告 與假訂單相吻合的攻擊:

昨天我的訂單失敗,並且信息與OP相似。

在發出失敗訂單的同時,我的WAF阻止了來自同一用戶/ IP(bbbb bbbb)的兩次未遂攻擊,原因是「 TI WooCommerce願望清單<1.21.12 –身份驗證的WP選項更改」

該腳本可能一直在探索 TI WooCommerce願望清單 插件,這是 修補 大約兩個星期前。 該插件在70,000多個WordPress網站上均處於活動狀態。

WooCommerce團隊仍在研究此漏洞的來源和影響,並將在可用時發布更多信息。

像這樣:

喜歡載入中……

資源

相關文章