Versões sem correção do carrinho abandonado por WooCommerce plugin para WordPress têm sido exploradas em ataques, pesquisadores dizem. Pelo visto, há um XSS perigosa (cross-site scripting) vulnerabilidade no plug-in que afeta ambas as versões pagos e gratuitos do plugin.
Mês passado, um script entre sites armazenado (XSS) falha foi corrigida na versão 5.2.0 do popular plugin do WordPress Abandoned Cart Lite For WooCommerce, disseram pesquisadores do Wordfence.
Carrinho abandonado por WooCommerce WordPress Plugin explorada em ataques
O plug-in Abandoned Cart for WooCommerce foi desenvolvido para ajudar os proprietários de sites WooCommerce a rastrearem carrinhos de compras abandonados para recuperar essas vendas. Contudo, os pesquisadores descobriram "uma falta de saneamento nas entradas e saídas", que permite que os invasores injetem cargas maliciosas de JavaScript em vários campos de dados. Essas cargas úteis são definidas para serem executadas quando um usuário conectado com privilégios de administrador visualiza a lista de carrinhos abandonados no painel do WordPress.
Como é realizado o ataque? Cibercriminosos criam um carrinho com informações de contato falsas, que é abandonado. De acordo com o relatório, os nomes e e-mails são aleatórios, mas os pedidos seguem o mesmo padrão: o nome e o sobrenome gerados são fornecidos juntos como billing_first_name, mas o campo billing_last_name contém a carga injetada .
O encurtador bit.ly usado nesses ataques resolve hXXps://cdn-bigcommerce[.]com / visionstat.js.
O domínio, que tenta parecer inócuo personificando o legítimo cdn.bigcommerce.com, aponta para o comando e controle (C2) servidor por trás da infecção. O script de destino, visionstat.js, é uma carga maliciosa JavaScript que usa a própria sessão do navegador da vítima para implantar backdoors no site.
Note-se que duas backdoors são implantadas nos ataques: uma conta de administrador não autorizada é criada, e um plug-in desativado está infectado com um script de execução de código. Ambas as ações são executadas criando um iframe oculto na janela do navegador existente do administrador, simulando o processo de preenchimento e envio dos formulários necessários, disseram pesquisadores.
Os pesquisadores detectaram 5,251 acessa o link bit.ly associado aos ataques.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: