Ongepatchte versies van de Verlaten Kar voor WooCommerce plugin voor WordPress zijn uitgebuit in aanvallen, onderzoekers zeggen. Blijkbaar, er is een gevaarlijke XSS (cross-site scripting) kwetsbaarheid in de plugin die zowel betaalde en gratis versies van de plugin invloed.
Vorige maand, een opgeslagen cross-site scripting (XSS) fout werd hersteld in versie 5.2.0 van de populaire WordPress plugin Verlaten Winkelwagen Lite Voor WooCommerce, zei Wordfence onderzoekers.
Verlaten Kar voor WooCommerce WordPress Plugin Exploited in Attacks
De Verlaten Kar voor WooCommerce plugin plugin is ontworpen om eigenaars van WooCommerce sites bieden om verlaten winkelwagentjes te volgen om die verkoop te herstellen. Echter, onderzoekers ontdekten dat “een gebrek aan sanitaire voorzieningen zowel op input en output” die het mogelijk maakt aanvallers om kwaadaardige JavaScript payloads te injecteren in verschillende datavelden. Deze ladingen zijn ingesteld om uit te voeren wanneer een ingelogde gebruiker met beheerdersrechten de lijst van verlaten karren uitzicht vanaf het WordPress dashboard.
Hoe wordt de aanval uitgevoerd? Cybercriminelen maken een kar met valse contactgegevens, die verlaten. Volgens het rapport, de namen en e-mails zijn willekeurig, maar de verzoeken volgen hetzelfde patroon: de gegenereerde voor- en achternaam samen geleverd als billing_first_name, maar het veld billing_last_name bevat de geïnjecteerde lading .
Ð ¢ he bit.ly shortener gebruikt in deze aanvallen beslist om hXXps://cdn-Bigcommerce[.]com / visionstat.js.
Het domein, die probeert onschuldig te kijken uit naam van de rechtmatige cdn.bigcommerce.com, wijst op de command and control (C2) server achter de infectie. Het doelwit script, visionstat.js, is een kwaadaardige JavaScript payload die eigen browser sessie van het slachtoffer gebruikt om backdoors in te zetten op hun site.
Opgemerkt moet worden dat twee backdoors worden ingezet bij de aanslagen: een schurkenstaat administrator account is aangemaakt, en een gedeactiveerde plugin is geïnfecteerd met een uitvoering van de code script. Beide acties worden uitgevoerd door het creëren van een verborgen iframe in bestaande browservenster van de admin, Vervolgens simuleren van het proces van vullen en indienen benodigde formulieren daarbinnen, onderzoekers zei.
De onderzoekers hadden ontdekt 5,251 toegangen tot de bit.ly koppeling in verband met de aanslagen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: