WooCommerce 4.6.2 已于昨天发布,其中修复了即使禁用“允许客户在结帐时创建帐户”设置也允许在结帐时创建帐户的错误。 WooCommerce 团队在数十名用户报告他们的网站收到垃圾邮件订单或付款失败的“失败订单”后发现了它。
WooCommerce 开发人员 Rodrigo Primo 描述了这个机器人如何攻击商店:
它的要点是机器人可以利用 4.6.2 中修复的错误在下订单时创建用户。创建用户后,机器人会尝试在站点上安装的其他需要非特权身份验证帐户的插件中查找漏洞。
WooCommerce 建议用户更新到 4.6.2 以阻止机器人在结账时创建用户,然后删除机器人之前创建的任何帐户。这不会阻止机器人创建虚假订单,因此建议店主从 WooCommerce 市场安装额外的垃圾邮件保护。支持论坛中的一些用户正在试用免费插件,例如 Advanced noCaptcha 和 Stealth Captcha 以及 WooCommerce 的防欺诈插件。
第一个记录的实例发生在 WooCommerce 能够发布修复之前的 9 天。同时,一些用户报告了他们网站 URL 的更改和其他黑客攻击企图。 Dave Green,WordPress 工程师确实使用日志文件来确定脚本是否依赖于利用其他漏洞来访问数据库。
“该脚本正在创建订单,并且还可能利用任何可用的漏洞来绕过客户帐户设置并创建新用户;它可能依赖也可能不依赖其他漏洞,”格林说。
“假设它已成功获得对系统的访问权限,那么它将尝试更新数据库。它要么会失败并给您带来麻烦,要么会成功并将您的站点指向欺诈性 URL。 "
p>
WooCommerce 团队还在 WooCommerce 块 3.7.1 中修复了这个错误,当相关设置被禁用时阻止结帐创建帐户。
WooCommerce 尚未发布任何带有该脚本利用漏洞的扩展。然而,一些用户报告了与假订单同时发生的攻击:
昨天我的订单失败了,并向 OP 提供了类似的信息。
由于“TI WooCommerce Wishlist < 1.21.12 – Authenticated WP Option Change”,我的 WAF 在发布失败订单时阻止了来自同一用户/IP (bbbb bbbb) 的两次攻击尝试
这个脚本可能一直在探索 TI WooCommerce Wishlist 插件,该插件大约在两周前打了补丁。该插件在 70,000 多个 WordPress 站点上处于活动状态。
WooCommerce 团队仍在研究此漏洞的来源和影响,并将在获得更多信息时发布。
喜欢这样:
喜欢正在加载...
资源
