WooCommerce исправляет уязвимость, которая позволяла спам-ботам создавать учетные записи при оформлении заказа
был выпущен с исправлением уязвимости, которая позволяла создавать учетную запись при оформлении заказа, даже если параметр “Разрешить клиентам создавать учетную запись во время оформления заказа” отключен. Команда WooCommerce обнаружила это после того, как несколько десятков пользователей сообщили, что их сайты получают спам-заказы или “неудачные заказы”, где платежные реквизиты были поддельными.
Разработчик WooCommerce Родриго Примо описал, как бот атакует магазины:
Суть его заключается в том, что бот способен создать пользователя при размещении заказа, используя ошибку, исправленную в 4.6.2. После создания пользователя бот пытается найти уязвимости в других плагинах, установленных на сайте, которые требуют непривилегированной аутентифицированной учетной записи.
WooCommerce рекомендует пользователям обновиться до версии 4.6.2, чтобы остановить ботов от создания пользователей при оформлении заказа, а затем удалить все учетные записи, ранее созданные ботом. Это не остановит ботов от создания поддельных заказов, поэтому владельцам магазинов рекомендуется от спама с WooCommerce Marketplace. Некоторые пользователи на форуме поддержки пытаются использовать бесплатные плагины, такие как Advanced noCaptcha & Invisible Captcha и плагин предотвращения мошенничества для WooCommerce.
Первый зарегистрированный экземпляр произошел за девять дней до того, как WooCommerce смогла выпустить исправление. Тем временем некоторые пользователи сообщили об изменении URL-адреса своего сайта и других попытках взлома. Дэйв Грин, инженер WordPress в , использовал файлы журналов, чтобы определить, что сценарий полагается на использование других уязвимостей для получения доступа к базе данных.
“Этот скрипт создает заказ, а также, вероятно, использует любую доступную уязвимость, чтобы обойти Настройки учетной записи клиента и создать нового пользователя; он может полагаться или не полагаться на другие эксплойты для этого”, – сказал Грин.
“Предполагая, что он успешно получил доступ к системе, он затем пытается обновить базу данных. Он либо терпит неудачу и оставляет вас с неприятными заказами, либо преуспевает и указывает ваш сайт на мошеннический URL-адрес.”
Команда WooCommerce также исправила эту же ошибку в , запрещая checkout создавать учетные записи, когда соответствующая настройка отключена.
WooCommerce не публиковала имена ни одного из расширений, которые имеют уязвимости, эксплуатируемые этим скриптом. Однако какой-то один пользователь сообщил об атаке, которая совпала с поддельными заказами:
Вчера у меня был неудачный заказ с аналогичной информацией для ОП.
В то же самое время, когда пришел неудачный заказ, мой WAF заблокировал две попытки атаковать одного и того же пользователя/IP (bbbb bbbb) для ” Ti WooCommerce Wishlist”
Возможно, скрипт искал уязвимость в плагине Ti WooCommerce Wishlist, который был исправлен примерно две недели назад. Плагин активен на более чем 70 000 WordPress сайтах.
Команда WooCommerce все еще изучает происхождение и влияние этой уязвимости и опубликует дополнительную информацию по мере ее появления.
Источник: wptavern.com
