WooCommerce исправляет уязвимость, которая позволяла спам-ботам создавать учетные записи при оформлении заказа

WooCommerce 4.6.2 был выпущен вчера с исправлением уязвимости, которая позволяла создавать учетную запись при оформлении заказа, даже если параметр «Разрешить клиентам создавать учетную запись во время оформления заказа» отключен. Команда WooCommerce обнаружила это после того, как несколько десятков пользователей сообщили, что их сайты получали спам-заказы или «неудавшиеся заказы», ​​в которых платежные реквизиты были поддельными.

Разработчик WooCommerce Родриго Примо описал, как бот атакует магазины:

Суть в том, что бот может создавать пользователя при размещении заказа, используя ошибку, исправленную в 4.6.2. После создания пользователя бот пытается найти уязвимости в других плагинах, установленных на сайте, которые требуют непривилегированной аутентифицированной учетной записи.

WooCommerce рекомендует пользователям обновиться до 4.6.2, чтобы запретить ботам создавать пользователей при оформлении заказа, а затем удалить любые учетные записи, созданные ботом ранее. Это не помешает ботам создавать поддельные заказы, поэтому владельцам магазинов рекомендуется установить дополнительную защиту от спама из WooCommerce Marketplace. Некоторые пользователи на форуме поддержки пробуют бесплатные плагины, такие как Advanced noCaptcha и Invisible Captcha и плагин предотвращения мошенничества для WooCommerce .

Первый зарегистрированный экземпляр произошел за девять дней до того, как WooCommerce смогла выпустить исправление. Тем временем некоторые пользователи сообщили об изменении URL-адреса своего сайта и других попытках взлома. Дэйв Грин, инженер WordPress в Make Do , использовал файлы журналов, чтобы определить, что сценарий использует другие уязвимости для получения доступа к базе данных.

«Этот сценарий создает заказ, а также, вероятно, будет использовать любую доступную уязвимость, чтобы обойти настройки учетной записи клиента и создать нового пользователя; для этого он может полагаться или не полагаться на другие эксплойты », – сказал Грин .

«Предполагая, что он успешно получил доступ к системе, он затем пытается обновить БД. Он либо терпит неудачу и оставляет вам неприятные заказы, либо преуспевает и указывает на ваш сайт мошеннический URL ».

Команда WooCommerce также исправила ту же ошибку в WooCommerce Blocks 3.7.1 , из-за которой проверка не могла создавать учетные записи, когда соответствующий параметр отключен.

WooCommerce не публиковала названия каких-либо расширений, в которых есть уязвимости, используемые этим скриптом. Однако один пользователь сообщил об атаке, которая совпала с поддельными заказами:

Вчера у меня был неудавшийся заказ с информацией, аналогичной OP.

В то же самое время, когда поступил неудавшийся заказ, мой WAF заблокировал две попытки атаки от одного и того же пользователя / IP (bbbb bbbb) для «TI WooCommerce Wishlist <1.21.12 – Authenticated WP Options Change»

Сценарий мог искать уязвимость в плагине TI WooCommerce Wishlist , который был исправлен примерно две недели назад. Плагин активен на более чем 70 000 сайтов WordPress.

Команда WooCommerce все еще изучает происхождение и влияние этой уязвимости и опубликует дополнительную информацию по мере ее появления.