WooCommerce

  • Критична уязвимост за WooCommerce. Ъпгрейднете до 5.5.1 ASAP

    Критична уязвимост, позволяваща достъп до информация за поръчки, клиенти и административни данни на засегнатите електронни магазини е отстранена в модула за електронна търговия на WordPress – WooCommerce и свързания с него модул WooCommerce Blocks. Препоръката на създателите им е незабавен ъпдейт до версия 5.5.1.

    Малко след оповестяването на новината, изтекоха и първите данни за експлоатирането ѝ в реална среда в блога на Wordfence. Т.е. уязвимостта съвсем не е безобидна и, ако още не сте ъпдейтнали магазина си – направете го максимално скоро.

    Какво позволява уязвимостта

    В официалната информация в блога woocommerce.com няма конкретика за това до какво точно може да доведе експлоатирането на уязвимостта. При различните магазини, „засегнатата уязвимата информация ще бъде различна[…], но може да съдържа данни за поръчки, клиенти и административни данни“, пише в съобщението. Очаква се и създаването на инструмент или набор стъпки за проверка дали магазинът ви не е сред засегнатите.

    Според наше проучване, става въпрос за открита и патчната възможност за SQL инжекции в функции, свързани с филтриране на продукти. Лошата новина е, че според Wordfence уязвимостта позволява UNION-based SQL инжекция – т.е. информацията може да се извлича комбинирано от няколко таблици от базата данни едновременно, което от своя страна означава: повече щети, реализирани по-бързо.

    Как да разбера дали не съм станал жертва

    Точни индикации все още няма, но има фактори, по които може да съдите, че сте сред засегнатите:

    • потърсете заявки, съдържащи SQL  параметри, към [highlight color=“yellow“]/wp-json/wc/store/products/collection-data[/highlight] или [highlight color=“yellow“]?rest_route=/wc/store/products/collection-data[/highlight] в логовете на сървъра си
    • прегледайте и за заявки, съдържащи [highlight color=“yellow“]%2525[/highlight] също може да са индикатор за компрометиране

    След появата на първите данни за успешни пробиви, става ясно, че те се случват от ограничен набор IP адрес – потърсете и тях в логовете си:

    [highlight color=“yellow“]107.173.148.66
    84.17.37.76
    122.161.49.71[/highlight]

    Какво да направя, за да се предпазя

    Малко след обявяването на новината около 2:30 часа българско време на 15 юли 2021 г., автоматично са били ъпдейтнати всички сайтове, хостнати на WordPress.com и WordPress VIP. Междувременно създателите на WooCommerce – Automatic – работят за пушването на автоматичен ъпдейт на „колкото се може повече сайтове“.

    Какви са промените в ъпдейта на WooCommerce вижте тук.

    Засегнати са над 90 версии на WooCommerce между 3.3 и 5.5. и между 2.2 и 5.5. на WooCommerce Blocks. Вижте пълен списък със стабилните рилийзи със запушена уязвимост тук.

    Към момента над 50% от сайтовете, работещи с WooCommerce, са с версия, по-стара от 5.1., а само 7.2% от сайтовете са защитени от уязвимостта (с версия над 5.5.+).

  • Над 30 хил. WooCommerce сайтове са уязвими на атаки заради модул за отстъпки

    Уязвимост в модула за управление на отстъпки Discount Rules for WooCommerce поставя под риск над 30 хил. сайта, които работят с него. Проблемът с модула е решен на 13 август, а авторите му препоръчват незабавен ъпдейт към версия 2.1.1. на модула.

    Discount Rules for WooCommerce позволява задаването на автоматизирани правила за отстъпки при поръчка на определени количества продукти, както и реализирането на други типове промоции. Решението е предназначено за WooCommerce – разширение за електронна търговия на WordPress.

    Уязвимостите в него са позволявали на атакуващите да придобият контрол върху засегнатите сайтове. Засечени са и опити за атаки предимно от IP адреса 45[.]140.167.17, който се е опитвал да инжектира заразени скриптове посредством уязвимостите.

    [button color=“green“ size=“big“ link=“https://www.bleepingcomputer.com/news/security/wordpress-woocommerce-stores-under-attack-patch-now/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Ъпдейтнете Abandoned Cart за WooCommerce сега

    Уязвимост в безплатната и платена версия на плъгина за WooCommerce Abandoned Cart позволява кражбата на администраторски акаунти в сайтовете, които го използват, съобщават от производителя му Tyche Softwares. Разкритата в средата на февруари пробойна е отстранена и препоръчваме на потребителите му да ъпдейтнат до най-новата версия. Към момента 42% от ползвателите са го направили, коментират от Tyche Softwares.

    По данни на ZDNet с безплатната версия на плъгина работят около 20 000 сайта.

    Как работи уязвимостта

    Засегнатите плъгини се казват Abandoned Cart Lite (безплатна версия) и Abandoned Cart Pro (платена версия).

    Според официалната информация от компанията, уязвимостта позволява на атакуващия да създаде нов потребител с име woouser и имейл в услугата Mailinator (конкретният адрес е [email protected]), който има администраторски права в засегнатия сайт.  Проблемът е открит от потребителка, която е съдействала и за отстраняването му. Подробна техническа информация за самата уязвимост не е предоставена публично от авторите на плъгина с уточнението, че те не искат да разкриват как се осъществяват такива зловредни действия.

    Публикации в други медии твърдят, че пробойната в плъгините се дължи на cross-site scripting (XSS) уязвимости. Добавката за WooCommerce (която е и сред най-популярните платформи за електронна търговия в България) позволява на администраторите на сайтовете да следят кои потребители са започнали да пазаруват, но не са завършили поръчките си. Търговците виждат списък с потребители и добавените от тях в кошницата продукти.

    Според Defiant security хакерите използват полетата в количката на магазина, за да добавят зловреден код в базата данни на сайта. В последствие, когато администраторът влезе, за да провери списъка с незавършени поръчки и стигне до компрометираната такава, кодът се изпълнява и дава администраторски права на хакерите и опитва да инсталира два бекдора.

    Първият работи с цел да създаде горе описания администраторски акаунт.

    Вторият създава списък с използваните от платформата WordPress плъгини на сайта, проследява кой е първият деактивиран от тях и подменят съдържанието му, без да го активират. Новият, заразен „плъгин“ позволява отдалечен достъп до сайта.

    [box type=“success“ align=““ class=““ width=““]

    Какво да направите

    1. Проверете списъка си с потребители и потърсете потребителското име Ако има такова, то най-вероятно сайтът ви е компрометиран. Ако имате плъгинг, с който записвате и следите потребителската активност в WordPress, проверете дали с този акаунт са осъществени логини и каква е била дейността му
    2. Ъпдейтнете плъгина си до най-новата версия, за да елиминирате пробойната

    [/box]

Back to top button