WordPress电子商务平台WooCommerce存在严重安全漏洞或将影响200,000多站点
研究人员披露,WooCommerce电子商务平台和相关插件中的一个关键SQL注入安全漏洞已作为零日漏洞受到攻击。
该漏洞促使WooCommerce在上周三晚些时候发布了针对该问题的紧急补丁。该漏洞可能允许未经身份验证的网络攻击者从在线商店的数据库中窃取大量信息——从客户数据和支付卡信息到员工凭证。
WooCommerce是一种流行的开源电子商务平台,适用于在WordPress上运行的网站,已安装在全球超过500万个网站上。它允许在线商家创建具有各种可定制选项的店面,例如接受的付款类型、运输功能、销售税计算等。
受该漏洞影响的相关插件是WooCommerce Blocks功能,该功能已安装在200,000多个站点上。它帮助商家在网页上展示他们的产品。
该漏洞(CVE待定)最初是由 HackerOne安全研究员报告的,他通过Twitter表示他能够整合一个有效的概念验证漏洞,但他不会发布该漏洞的详细信息直到商家有时间应用补丁。
因此,除了它允许SQL注入(一种允许网络攻击者干扰应用程序对其数据库的查询的攻击)这一事实之外,技术细节很少。通常这是通过将恶意SQL语句插入到一个条目字段中来执行的。
在野开发程度不明
WooCommerce工程主管在一份咨询报告中表示:“我们正在调查此漏洞以及数据是否已被泄露。” “我们将与网站所有者分享有关如何调查其网站上的此安全漏洞的更多信息……如果一家商店受到影响,则暴露的信息将特定于该网站存储的内容,但可能包括订单、客户和管理信息。 ”
根据Wordfence的研究人员的说法,“[剥削] 企图的证据极其有限,而且此类企图很可能具有高度针对性。”
也就是说,一位用户在WooCommerce咨询的评论部分指出,已经观察到异常活动。
“就在你的公告和电子邮件之前几个小时,我管理的网站在有效地锁定管理登录并呈现各种奇怪的消息之前看到了网络流量的大量激增,”该用户说。“当我通过SSH进入实时环境时,控制台报告说自我上次登录以来有4次登录尝试失败。据我所知,没有明显的故意破坏行为,登录失败的IP被禁止,好像有点太巧了。”
为了确定网站是否受到影响,Wordfence研究人员称对日志文件的审查可能会显示以下迹象:
在您的日志文件中查找对/wp-json/wc/store/products/collection-data 或 ?rest_route=/wc/store/products/collection-data的大量重复请求,包含 %2525的查询字符串表明此漏洞可能已在您的站点上被利用。
影响版本
该漏洞影响WooCommerce 插件的3.3至5.5版和WooCommerce Blocks 2.5 至5.5插件。消息称,该公司已经“为每个受影响的版本(90 多个版本)创建了补丁修复程序,并自动部署到易受攻击的商店。
然而,这种自动部署不是即时的,并且在咨询评论部分的用户报告说截至周四下午没有收到更新。因此需要敦促每个人检查并在需要时手动更新以防万一,WooCommerce 说。
该公告包括一个列出所有90个修补版本的表格。
“使用旧版本的店主可以更新到他们分店的最新版本,例如,如果您的店面使用 WooCommerce 5.3 版,您可以更新到5.3.1版以最大程度地降低兼容性问题的风险。此外,WooCommerce 还建议在更新后重置管理密码以提供额外保护。
这个开源平台对安全漏洞并不陌生:去年秋天,它修补了两个高严重性的跨站点脚本漏洞,在这个过程中,苹果花了九牛二虎之力才得到正确的修复。
前段时间,有报告显示WordPress文件管理插件漏洞百出(freebuf.com/vuls/280640.html),这无疑让使用者暴露在危险之下。
软件安全是网络安全最后以到防线!确保软件尽可能少的出现安全漏洞可以有效阻止针对漏洞的网络攻击,如跨站脚本XSS等。同时,在开发软件过程中,利用静态代码安全检测也能有效查找一定的漏洞,此时修改不但便于及时定位,还能大大降低因漏洞带来的损失,这也是为什么软件开发公司逐渐在原来安全检测基础上,开始将静态代码安全检测融入到软件开发周期中来。
参读链接:
https://threatpost.com/zero-day-attacks-woocommerce-databases/167846/