WooCommerce

  • Критична XSS уязвимост в PixelYourSite e използвана като вектор за атака срещу български WooCommerce магазини

    Последен ъпдейт на 18 февруари 2026 в 09:10 ч.

    Един от най-популярните тракинг модули за WordPress – PixelYourSite се оказа засегнат от критична уязвимост, публикувана на 13 февруари 2026 г. в базата данни на Wordfence. Проблемът засяга както Pro, така и Free версията на плъгина и позволява неавтентикиран Stored Cross-Site Scripting (XSS) чрез запис на HTTP Referer хедъра в мета данните на WooCommerce поръчките без адекватна санитизация.

    Уязвимостите са регистрирани като:

    • CVE-2026-1844 (PixelYourSite Pro)
    • CVE-2026-1841 (PixelYourSite Free)
      CVSS: 7.2 / 10 (High)

    След няколко дни комуникация с екипа на PixelYourSIte, горната уязвимост, както и още 3 нови, които открихме и репортнахме, са отстранени. Очаквайте допълнителна информация за това след регистрирането на CVE-тата, но междувременно: ъпдейтнете модула веднага.

    Как работи атаката

    Атакуващ може да създаде фалшива поръчка, съдържаща зловреден скрипт в HTTP Referer хедъра. Този скрипт се записва в мета данните на поръчката. При отваряне на поръчката от администратор в WooCommerce, кодът се изпълнява в контекста на неговата сесия.

    Поръчката може да идва и от потребители с мними български имена:

    Потенциалният резултат:

    1. създаване на нов администраторски акаунт
    2. инжектиране на бекдор
    3. компрометиране на сайта

    Към момента няма официално публично съобщение от разработчиците, но е налична версия 12.4.0.3, която отстранява частично проблема проблема. Колегата Иван Арнаудов публикува mu-plugin, който коригира уязвимостите. Екипът ни форкна и го подобри, защото междувременно отрихме още няколко казуса, които позволяват XSS атака и неоторизирано създаване на админ акаунти. Свалете го и инсталирайте като mu-plugin или обикновен плъгин в сайта си.

    Налични са доказателства за успешни атаки срещу български сайтове, затова: 

    Какво да направите незабавно

    1. Проверете версията на плъгина.

    Ако използвате PixelYourSite: обновете до последната налична версия (минимум 12.4.0.3 за Pro). Ако не използвате активно плъгина — деактивирайте и премахнете.

    Не отлагайте. При Stored XSS атаките компрометирането може да се случи дори без видими симптоми.

    2. Сканирайте базата данни

    Проверете мета данните на WooCommerce поръчките за инжектиран код:

    SELECT order_id, meta_key, meta_value
    FROM wp_wc_orders_meta
    WHERE meta_value REGEXP '<script|iframe|onerror=|base64|staticsx';

    (Заменете префикса wp_ със своя.)

    Ако откриете съмнителни записи:

    1. Не ги триите веднага.
    2. Направете бекъп.
    3. Консултирайте се със специалист.

    3. Проверете администраторските акаунти

    SELECT u.ID, u.user_login, u.user_email
    FROM wp_users u
    JOIN wp_usermeta um ON um.user_id = u.ID
    WHERE um.meta_key LIKE '%_capabilities'
    AND um.meta_value LIKE '%administrator%';

    Проверете:

    1. Познавате ли всеки акаунт?
    2. Има ли нови потребители, създадени през последните дни?
    3. Има ли подозрителни имейли?

    4. Проверете логовете

    Прегледайте:

    1. новосъздадени потребители
    2. необичайни POST заявки към checkout
    3. промени в плъгини или теми

    Ако използвате firewall (Cloudflare, Wordfence, Sucuri), прегледайте логовете за аномалии около 13 февруари насам.

    5. Ако подозирате компромис

    1. Смяна на всички администраторски пароли
    2. Ротация на API ключове (Meta, Google, TikTok и др.)
    3. Проверка на файловата система за бекдори
    4. Пълно сканиране със специализиран инструмент

    По-важният урок

    Този случай показва нещо критично: плъгин, който записва входящи HTTP хедъри без санитизация, може да превърне маркетингов инструмент във входна точка за атака.

    Stored XSS в административен панел не е „козметичен“ проблем — това е директен път към takeover на сайта.

    Как да се застраховате срещу подбен тия узпвимост:

    1. Следвайте принципа на минимално необходими права (Principle of Least Privilege) – В WordPress ролята Administrator има пълен контрол — създаване на потребители, инсталиране на плъгини, промяна на код. Ролята Shop Manager (в WooCommerce) позволява управление на поръчки и продукти, но без системни привилегии. Ако работите като Shop Manager, то няма как да създадете потребител с администраторски права и уязвимостта е неизползваема срещу вас
    2. 2-факторна автентикация за всички админи, задължително
    3. Zero Trust (има го в безплатната версия на Cloudflare)
    4. Забранете редактирнаето на файлове и плъгини през админ панела с долните 2 реда в wp-config.php:
    define( 'DISALLOW_FILE_EDIT', true );
    define( 'DISALLOW_FILE_MODS', true );
  • Критична уязвимост в BeyondCart — задължителен ъпдейт за всички клиенти

    В края на миналата седмица забелязахме критична zero-day уязвимост (CVE-2025-8570 с оценка 9.8) в REST API на плъгина BeyondCart (BeyondCart Connector), която позволяваше неавтентикирани заявки да достъпват и модифицират данни за потребители. При определена последователност това може да доведе до ескалиране на привилегии и сдобиване с администраторски акаунт в сайта ви – както се случи в нашия казус.

    Самата уязвимост е открита на 10 септември от потребителя kr0d и е публикувана в базите на WordFence и PatchStack. Лошото в случая е, че имаме доказателства, че се използва активно буквално от 11 септември, затова – още преди да продължите да четете, ъпдейтнете модула. 

    Атаката протича на няколко етапа

    1. първоначално разузнаване на публични endpoint-и (в нашия случай от Индонезия – пълен списък на IP адресите по-долу),
    2. експлоатация с PUT заявка за промяна на администраторски акаунт (подмяна на имейл и парола)
    3. последвано от вход в админ панела
    4. деактивиране на BeyondCart Connector (хакерите не искат някой да ги надхака, явно)
    5. инсталиране на WP File Manager и качване на модната версия на ядрото на WordPress, в която има persistent backdoor – class-action.php
    6. модификация на functions.php на темата и добавка: скрипт за ексфилтриране на администраотски акаунти
    7. прикриване на следите от атаката

    Причината за казуса

    Уведомихме веднага екипа на BeyondCart. Те потвърдиха проблема и вече са премахнали уязвимия код от публичното хранилище. Към момента плъгинът е временно недостъпен за изтегляне в WordPress.org, докато тече проверка.

    Коренът на проблема е липсата на правилна последователност: автентикацията трябва да се валидира преди проверката на разрешенията за даден customer ID. В сегашната реализация endpoint-ът може да върне данни и за неаутентифицирани потребители, което отваря врата за по-нататъшна ескалация.

    	public function user_permissions_check( $request ) {
    		$id = (int) $request['id'];
    
    		if(!isset($request['id'])) {
    			$id = (int) $request['customer'];
    		}
    		
    
    		if ( get_current_user_id() != $id ) {
    			return new WP_Error( 'BeyondCart', __( 'Sorry, you are not allowed to do this.', "grind-mobile-app" ), array( 'status' => rest_authorization_required_code() ) );
    		}
    
    		return true;
    	}

    За какво да се оглеждате

    1. Ако имате версия на плъгина, по-ниска от 3.Х и той е деактивиран, без да знаете защо – най-вероятно сте компрометирани
    2. Провете администраторските акаунти – ако броят на администраторите, които виждате в списъка с потребители, не съвпада с този, който виждате до линка Администратори в таба – най-вероятно има компрометиран акаунт
    3. Проверете директорията wp-content/plugins – ако в нея видите нещо като hide-user или hide-user.php, най-вероятно сте засегнати, а вътре ще видите потребителското име на вече създадения администратоски акаунт

    Самият плъгин е делистнат без предупреждение от WordPress – които дори не са уведомили авторите му за уязвимостта (а може би трябваше, за да бъде своевременно отстранена). Според екипа разработчици, вече седмица се чака да се качи одобрената версия на модула в публичното репо с плъгини на платформата.

    Какво да правите

    Ако използвате BeyondCart, ъпдейтнете плъгина незабавно до версия 3.Х (може да я получите директно от авторите му, след като се свържете с тях тук). След това:

    1. сменете всички администраторски пароли;
    2. завъртете AUTH_KEY и SALT стойностите в wp-config.php (wp config shuffle-salts в WP CLI конзолата – като това ще изиска от всички ваши клиенти да се логнат);
    3. активирайте двуфакторна автентикация а администратори;
    4. сканирайте файловата система и базата за скрити потребители и непознати скриптове;
    5. провете за заявки от следните IP адреси:2400:9800:16c:6071:e181:be8:5a56:ce88
      172.81.132.152

    Поуката е ясна — дори „малки“ грешки в проверките могат да имат сериозни последствия, когато REST API е публично достъпен. Препоръчваме на всички клиенти да въведат мониторинг, WAF правила за ограничаване на PUT/POST заявки и одит на външните интеграции.

  • Критична уязвимост за WooCommerce. Ъпгрейднете до 5.5.1 ASAP

    Критична уязвимост, позволяваща достъп до информация за поръчки, клиенти и административни данни на засегнатите електронни магазини е отстранена в модула за електронна търговия на WordPress – WooCommerce и свързания с него модул WooCommerce Blocks. Препоръката на създателите им е незабавен ъпдейт до версия 5.5.1.

    Малко след оповестяването на новината, изтекоха и първите данни за експлоатирането ѝ в реална среда в блога на Wordfence. Т.е. уязвимостта съвсем не е безобидна и, ако още не сте ъпдейтнали магазина си – направете го максимално скоро.

    Какво позволява уязвимостта

    В официалната информация в блога woocommerce.com няма конкретика за това до какво точно може да доведе експлоатирането на уязвимостта. При различните магазини, „засегнатата уязвимата информация ще бъде различна[…], но може да съдържа данни за поръчки, клиенти и административни данни“, пише в съобщението. Очаква се и създаването на инструмент или набор стъпки за проверка дали магазинът ви не е сред засегнатите.

    Според наше проучване, става въпрос за открита и патчната възможност за SQL инжекции в функции, свързани с филтриране на продукти. Лошата новина е, че според Wordfence уязвимостта позволява UNION-based SQL инжекция – т.е. информацията може да се извлича комбинирано от няколко таблици от базата данни едновременно, което от своя страна означава: повече щети, реализирани по-бързо.

    Как да разбера дали не съм станал жертва

    Точни индикации все още няма, но има фактори, по които може да съдите, че сте сред засегнатите:

    • потърсете заявки, съдържащи SQL  параметри, към /wp-json/wc/store/products/collection-data или ?rest_route=/wc/store/products/collection-data в логовете на сървъра си
    • прегледайте и за заявки, съдържащи %2525 също може да са индикатор за компрометиране

    След появата на първите данни за успешни пробиви, става ясно, че те се случват от ограничен набор IP адрес – потърсете и тях в логовете си:

    107.173.148.66
    84.17.37.76
    122.161.49.71

    Какво да направя, за да се предпазя

    Малко след обявяването на новината около 2:30 часа българско време на 15 юли 2021 г., автоматично са били ъпдейтнати всички сайтове, хостнати на WordPress.com и WordPress VIP. Междувременно създателите на WooCommerce – Automatic – работят за пушването на автоматичен ъпдейт на „колкото се може повече сайтове“.

    Какви са промените в ъпдейта на WooCommerce вижте тук.

    Засегнати са над 90 версии на WooCommerce между 3.3 и 5.5. и между 2.2 и 5.5. на WooCommerce Blocks. Вижте пълен списък със стабилните рилийзи със запушена уязвимост тук.

    Към момента над 50% от сайтовете, работещи с WooCommerce, са с версия, по-стара от 5.1., а само 7.2% от сайтовете са защитени от уязвимостта (с версия над 5.5.+).

  • Над 30 хил. WooCommerce сайтове са уязвими на атаки заради модул за отстъпки

    Уязвимост в модула за управление на отстъпки Discount Rules for WooCommerce поставя под риск над 30 хил. сайта, които работят с него. Проблемът с модула е решен на 13 август, а авторите му препоръчват незабавен ъпдейт към версия 2.1.1. на модула.

    Discount Rules for WooCommerce позволява задаването на автоматизирани правила за отстъпки при поръчка на определени количества продукти, както и реализирането на други типове промоции. Решението е предназначено за WooCommerce – разширение за електронна търговия на WordPress.

    Уязвимостите в него са позволявали на атакуващите да придобият контрол върху засегнатите сайтове. Засечени са и опити за атаки предимно от IP адреса 45[.]140.167.17, който се е опитвал да инжектира заразени скриптове посредством уязвимостите.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Ъпдейтнете Abandoned Cart за WooCommerce сега

    Уязвимост в безплатната и платена версия на плъгина за WooCommerce Abandoned Cart позволява кражбата на администраторски акаунти в сайтовете, които го използват, съобщават от производителя му Tyche Softwares. Разкритата в средата на февруари пробойна е отстранена и препоръчваме на потребителите му да ъпдейтнат до най-новата версия. Към момента 42% от ползвателите са го направили, коментират от Tyche Softwares.

    По данни на ZDNet с безплатната версия на плъгина работят около 20 000 сайта.

    Как работи уязвимостта

    Засегнатите плъгини се казват Abandoned Cart Lite (безплатна версия) и Abandoned Cart Pro (платена версия).

    Според официалната информация от компанията, уязвимостта позволява на атакуващия да създаде нов потребител с име woouser и имейл в услугата Mailinator (конкретният адрес е [email protected]), който има администраторски права в засегнатия сайт.  Проблемът е открит от потребителка, която е съдействала и за отстраняването му. Подробна техническа информация за самата уязвимост не е предоставена публично от авторите на плъгина с уточнението, че те не искат да разкриват как се осъществяват такива зловредни действия.

    Публикации в други медии твърдят, че пробойната в плъгините се дължи на cross-site scripting (XSS) уязвимости. Добавката за WooCommerce (която е и сред най-популярните платформи за електронна търговия в България) позволява на администраторите на сайтовете да следят кои потребители са започнали да пазаруват, но не са завършили поръчките си. Търговците виждат списък с потребители и добавените от тях в кошницата продукти.

    Според Defiant security хакерите използват полетата в количката на магазина, за да добавят зловреден код в базата данни на сайта. В последствие, когато администраторът влезе, за да провери списъка с незавършени поръчки и стигне до компрометираната такава, кодът се изпълнява и дава администраторски права на хакерите и опитва да инсталира два бекдора.

    Първият работи с цел да създаде горе описания администраторски акаунт.

    Вторият създава списък с използваните от платформата WordPress плъгини на сайта, проследява кой е първият деактивиран от тях и подменят съдържанието му, без да го активират. Новият, заразен „плъгин“ позволява отдалечен достъп до сайта.

    Какво да направите

    1. Проверете списъка си с потребители и потърсете потребителското име Ако има такова, то най-вероятно сайтът ви е компрометиран. Ако имате плъгинг, с който записвате и следите потребителската активност в WordPress, проверете дали с този акаунт са осъществени логини и каква е била дейността му
    2. Ъпдейтнете плъгина си до най-новата версия, за да елиминирате пробойната
Back to top button