WooCommerce 4.6.2 于昨天发布,其中包含一个漏洞修复程序,即使禁用了“允许客户在结帐时创建帐户”设置,该漏洞仍允许在结帐时创建帐户。 WooCommerce团队在数十位用户之后发现了它 已报告 他们的网站收到了垃圾邮件订单,或者是付款失败的“失败订单”。
WooCommerce开发人员Rodrigo Primo描述了该机器人如何攻击商店:
其要点是,机器人可以在下订单时利用4.6.2中修复的错误来创建用户。 创建用户后,该漫游器会尝试查找该站点上安装的其他插件中的漏洞,这些漏洞需要未经特权的身份验证帐户。
WooCommerce建议用户更新至4.6.2,以阻止bot在结帐时创建用户,然后删除该bot先前创建的所有帐户。 这不会阻止机器人创建虚假订单,因此建议店主 安装其他垃圾邮件防护 从WooCommerce市场。 支持论坛中的一些用户正在尝试免费插件,例如 先进的noCaptcha和隐形验证码 和 WooCommerce的防欺诈插件。
首先 记录实例 发生在WooCommerce能够发布修复程序的9天之前。 同时,一些用户报告说他们的站点的URL发生了更改,并进行了其他黑客攻击尝试。 Dave Green,WordPress工程师 做使用日志文件来确定脚本是否依赖利用其他漏洞来获得对数据库的访问。
“该脚本正在创建订单,并且还可能利用任何可用的漏洞绕过客户帐户设置并创建新用户; 它可能或可能不依赖其他漏洞利用,” Green 说过。
“假设它已成功获得对系统的访问权限,那么它将尝试更新数据库。 它要么失败并给您带来麻烦,要么成功并把您的站点指向欺诈URL。”
WooCommerce团队还修复了此错误 WooCommerce区块3.7.1,当相关设置被禁用时,防止结帐创建帐户。
WooCommerce没有发布任何具有此脚本所利用的漏洞的扩展名。 但是,一些用户 已报告 与假订单相吻合的攻击:
昨天我的订单失败,并且信息与OP相似。
在发出失败订单的同时,我的WAF阻止了来自同一用户/ IP(bbbb bbbb)的两次未遂攻击,原因是“ TI WooCommerce愿望清单<1.21.12 –身份验证的WP选项更改”
该脚本可能一直在探索 TI WooCommerce愿望清单 插件,这是 修补 大约两个星期前。 该插件在70,000多个WordPress网站上均处于活动状态。
WooCommerce团队仍在研究此漏洞的来源和影响,并将在可用时发布更多信息。
像这样:
喜欢加载中……