>> サイバーニュース > WooCommerce WordPress プラグインの放棄されたカートが攻撃に悪用される
サイバーニュース

攻撃で悪用されたWooCommerceWordPressプラグインの放棄されたカート


WordPress用のAbandonedCartforWooCommerceプラグインのパッチが適用されていないバージョンが攻撃に悪用されました, 研究者は言う. どうやら, 危険なXSSがあります (クロスサイトスクリプティング) プラグインの有料版と無料版の両方に影響を与えるプラグインの脆弱性.




先月, 保存されたクロスサイトスクリプティング (XSS) 欠陥はバージョンでパッチされました 5.2.0 人気のWordPressプラグインのWooCommerce用の放棄されたカートライト, ワードフェンスの研究者は言った.

攻撃で悪用されたWooCommerceWordPressプラグインの放棄されたカート

Abandoned Cart for WooCommerceプラグインプラグインは、WooCommerceサイトの所有者が、売り上げを回復するために放棄されたショッピングカートを追跡できるように設計されています。. でも, 研究者は、攻撃者が悪意のあるJavaScriptペイロードをさまざまなデータフィールドに挿入できる「入力と出力の両方での衛生状態の欠如」を発見しました. これらのペイロードは、管理者権限を持つログインユーザーがWordPressダッシュボードから放棄されたカートのリストを表示したときに実行されるように設定されています.

攻撃はどのように実行されますか? サイバー犯罪者は、偽の連絡先情報を含むカートを作成します, 放棄された. レポートによると, 名前とメールアドレスはランダムです, しかし、リクエストは同じパターンに従います: 生成された名前と名前は、billing_first_nameとして一緒に提供されます, ただし、billing_last_nameフィールドには、挿入されたペイロードが含まれています .

関連している: [wplinkpreview url =”https://Sensorstechforum.com/xss-bug-found-wix-com-platform-built-open-source-wordpress-library/”] Wix.comプラットフォームでXSSバグが見つかりました, オープンソースのWordPressライブラリに基づいて構築.

これらの攻撃で使用されるbit.ly短縮機能は、次のように解決されます。 hXXps://cdn-bigcommerce[.]com /visionstat.js.

ドメイン, 正当なcdn.bigcommerce.comになりすまして無害に見せようとします, コマンドアンドコントロールを指す (C2) 感染の背後にあるサーバー. ターゲットスクリプト, visionstat.js, は、被害者自身のブラウザセッションを使用してサイトにバックドアを配備する悪意のあるJavaScriptペイロードです。.

攻撃では2つのバックドアが配備されていることに注意してください: 不正な管理者アカウントが作成されます, 非アクティブ化されたプラグインはコード実行スクリプトに感染しています. これらのアクションは両方とも、管理者の既存のブラウザウィンドウに非表示のiframeを作成することによって実行されます, 次に、その中の必要なフォームに記入して送信するプロセスをシミュレートします, 研究者は言った.

研究者は検出しました 5,251 攻撃に関連するbit.lyリンクへのアクセス.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します