Критична XSS уязвимост в PixelYourSite e използвана като вектор за атака срещу български WooCommerce магазини
Последен ъпдейт на 18 февруари 2026 в 09:10 ч.
Един от най-популярните тракинг модули за WordPress – PixelYourSite се оказа засегнат от критична уязвимост, публикувана на 13 февруари 2026 г. в базата данни на Wordfence. Проблемът засяга както Pro, така и Free версията на плъгина и позволява неавтентикиран Stored Cross-Site Scripting (XSS) чрез запис на HTTP Referer хедъра в мета данните на WooCommerce поръчките без адекватна санитизация.
Уязвимостите са регистрирани като:
- CVE-2026-1844 (PixelYourSite Pro)
- CVE-2026-1841 (PixelYourSite Free)
CVSS: 7.2 / 10 (High)
След няколко дни комуникация с екипа на PixelYourSIte, горната уязвимост, както и още 3 нови, които открихме и репортнахме, са отстранени. Очаквайте допълнителна информация за това след регистрирането на CVE-тата, но междувременно: ъпдейтнете модула веднага.
Как работи атаката
Атакуващ може да създаде фалшива поръчка, съдържаща зловреден скрипт в HTTP Referer хедъра. Този скрипт се записва в мета данните на поръчката. При отваряне на поръчката от администратор в WooCommerce, кодът се изпълнява в контекста на неговата сесия.
Поръчката може да идва и от потребители с мними български имена:

Потенциалният резултат:
- създаване на нов администраторски акаунт
- инжектиране на бекдор
- компрометиране на сайта
Към момента няма официално публично съобщение от разработчиците, но е налична версия 12.4.0.3, която отстранява частично проблема проблема. Колегата Иван Арнаудов публикува mu-plugin, който коригира уязвимостите. Екипът ни форкна и го подобри, защото междувременно отрихме още няколко казуса, които позволяват XSS атака и неоторизирано създаване на админ акаунти. Свалете го и инсталирайте като mu-plugin или обикновен плъгин в сайта си.
Налични са доказателства за успешни атаки срещу български сайтове, затова:
Какво да направите незабавно
1. Проверете версията на плъгина.
Ако използвате PixelYourSite: обновете до последната налична версия (минимум 12.4.0.3 за Pro). Ако не използвате активно плъгина — деактивирайте и премахнете.
Не отлагайте. При Stored XSS атаките компрометирането може да се случи дори без видими симптоми.
2. Сканирайте базата данни
Проверете мета данните на WooCommerce поръчките за инжектиран код:
SELECT order_id, meta_key, meta_value FROM wp_wc_orders_meta WHERE meta_value REGEXP '<script|iframe|onerror=|base64|staticsx';
(Заменете префикса wp_ със своя.)
Ако откриете съмнителни записи:
- Не ги триите веднага.
- Направете бекъп.
- Консултирайте се със специалист.
3. Проверете администраторските акаунти
SELECT u.ID, u.user_login, u.user_email FROM wp_users u JOIN wp_usermeta um ON um.user_id = u.ID WHERE um.meta_key LIKE '%_capabilities' AND um.meta_value LIKE '%administrator%';
Проверете:
- Познавате ли всеки акаунт?
- Има ли нови потребители, създадени през последните дни?
- Има ли подозрителни имейли?
4. Проверете логовете
Прегледайте:
- новосъздадени потребители
- необичайни POST заявки към checkout
- промени в плъгини или теми
Ако използвате firewall (Cloudflare, Wordfence, Sucuri), прегледайте логовете за аномалии около 13 февруари насам.
5. Ако подозирате компромис
- Смяна на всички администраторски пароли
- Ротация на API ключове (Meta, Google, TikTok и др.)
- Проверка на файловата система за бекдори
- Пълно сканиране със специализиран инструмент
По-важният урок
Този случай показва нещо критично: плъгин, който записва входящи HTTP хедъри без санитизация, може да превърне маркетингов инструмент във входна точка за атака.
Stored XSS в административен панел не е „козметичен“ проблем — това е директен път към takeover на сайта.
Как да се застраховате срещу подбен тия узпвимост:
- Следвайте принципа на минимално необходими права (Principle of Least Privilege) – В WordPress ролята Administrator има пълен контрол — създаване на потребители, инсталиране на плъгини, промяна на код. Ролята Shop Manager (в WooCommerce) позволява управление на поръчки и продукти, но без системни привилегии. Ако работите като Shop Manager, то няма как да създадете потребител с администраторски права и уязвимостта е неизползваема срещу вас
- 2-факторна автентикация за всички админи, задължително
- Zero Trust (има го в безплатната версия на Cloudflare)
- Забранете редактирнаето на файлове и плъгини през админ панела с долните 2 реда в wp-config.php:
define( 'DISALLOW_FILE_EDIT', true ); define( 'DISALLOW_FILE_MODS', true );