Cybersec NewsБързи новиниКибератакиУязивмости, експлойти, ъпдейти

Критична XSS уязвимост в PixelYourSite e използвана като вектор за атака срещу български WooCommerce магазини

Последен ъпдейт на 18 февруари 2026 в 09:10 ч.

Един от най-популярните тракинг модули за WordPress – PixelYourSite се оказа засегнат от критична уязвимост, публикувана на 13 февруари 2026 г. в базата данни на Wordfence. Проблемът засяга както Pro, така и Free версията на плъгина и позволява неавтентикиран Stored Cross-Site Scripting (XSS) чрез запис на HTTP Referer хедъра в мета данните на WooCommerce поръчките без адекватна санитизация.

Уязвимостите са регистрирани като:

  • CVE-2026-1844 (PixelYourSite Pro)
  • CVE-2026-1841 (PixelYourSite Free)
    CVSS: 7.2 / 10 (High)

След няколко дни комуникация с екипа на PixelYourSIte, горната уязвимост, както и още 3 нови, които открихме и репортнахме, са отстранени. Очаквайте допълнителна информация за това след регистрирането на CVE-тата, но междувременно: ъпдейтнете модула веднага.

Как работи атаката

Атакуващ може да създаде фалшива поръчка, съдържаща зловреден скрипт в HTTP Referer хедъра. Този скрипт се записва в мета данните на поръчката. При отваряне на поръчката от администратор в WooCommerce, кодът се изпълнява в контекста на неговата сесия.

Поръчката може да идва и от потребители с мними български имена:

Потенциалният резултат:

  1. създаване на нов администраторски акаунт
  2. инжектиране на бекдор
  3. компрометиране на сайта

Към момента няма официално публично съобщение от разработчиците, но е налична версия 12.4.0.3, която отстранява частично проблема проблема. Колегата Иван Арнаудов публикува mu-plugin, който коригира уязвимостите. Екипът ни форкна и го подобри, защото междувременно отрихме още няколко казуса, които позволяват XSS атака и неоторизирано създаване на админ акаунти. Свалете го и инсталирайте като mu-plugin или обикновен плъгин в сайта си.

Налични са доказателства за успешни атаки срещу български сайтове, затова: 

Какво да направите незабавно

1. Проверете версията на плъгина.

Ако използвате PixelYourSite: обновете до последната налична версия (минимум 12.4.0.3 за Pro). Ако не използвате активно плъгина — деактивирайте и премахнете.

Не отлагайте. При Stored XSS атаките компрометирането може да се случи дори без видими симптоми.

2. Сканирайте базата данни

Проверете мета данните на WooCommerce поръчките за инжектиран код:

SELECT order_id, meta_key, meta_value
FROM wp_wc_orders_meta
WHERE meta_value REGEXP '<script|iframe|onerror=|base64|staticsx';

(Заменете префикса wp_ със своя.)

Ако откриете съмнителни записи:

  1. Не ги триите веднага.
  2. Направете бекъп.
  3. Консултирайте се със специалист.

3. Проверете администраторските акаунти

SELECT u.ID, u.user_login, u.user_email
FROM wp_users u
JOIN wp_usermeta um ON um.user_id = u.ID
WHERE um.meta_key LIKE '%_capabilities'
AND um.meta_value LIKE '%administrator%';

Проверете:

  1. Познавате ли всеки акаунт?
  2. Има ли нови потребители, създадени през последните дни?
  3. Има ли подозрителни имейли?

4. Проверете логовете

Прегледайте:

  1. новосъздадени потребители
  2. необичайни POST заявки към checkout
  3. промени в плъгини или теми

Ако използвате firewall (Cloudflare, Wordfence, Sucuri), прегледайте логовете за аномалии около 13 февруари насам.

5. Ако подозирате компромис

  1. Смяна на всички администраторски пароли
  2. Ротация на API ключове (Meta, Google, TikTok и др.)
  3. Проверка на файловата система за бекдори
  4. Пълно сканиране със специализиран инструмент

По-важният урок

Този случай показва нещо критично: плъгин, който записва входящи HTTP хедъри без санитизация, може да превърне маркетингов инструмент във входна точка за атака.

Stored XSS в административен панел не е „козметичен“ проблем — това е директен път към takeover на сайта.

Как да се застраховате срещу подбен тия узпвимост:

  1. Следвайте принципа на минимално необходими права (Principle of Least Privilege) – В WordPress ролята Administrator има пълен контрол — създаване на потребители, инсталиране на плъгини, промяна на код. Ролята Shop Manager (в WooCommerce) позволява управление на поръчки и продукти, но без системни привилегии. Ако работите като Shop Manager, то няма как да създадете потребител с администраторски права и уязвимостта е неизползваема срещу вас
  2. 2-факторна автентикация за всички админи, задължително
  3. Zero Trust (има го в безплатната версия на Cloudflare)
  4. Забранете редактирнаето на файлове и плъгини през админ панела с долните 2 реда в wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );
Покажи още
Back to top button