我們釋出此公告是為了提醒 WooCommerce 社羣,WooCommerce 8.8.0 及更高版本中存在一個跨站指令碼攻擊 (XSS) 漏洞,這是透過我們持續的主動安全測試過程中發現的。我們已經發布了補丁。
這個問題出現在包含註冊和經典結賬的頁面上,允許向頁面注入 HTML 和 JavaScript 。我們已經發布了 WooCommerce 8.9 的補丁版本,並將修復回溯到 WooCommerce 8.8 。此修復也將包含在 WooCommerce 9.0 中。如果您正在執行 WooCommerce 8.8.0 或更高版本,我們強烈建議您儘快更新。
問題概述
WooCommerce 8.8 中引入的一個漏洞允許跨站指令碼攻擊 (XSS)——這是一種攻擊方式,惡意行為者可以操縱連結以在頁面上包含惡意內容,例如 JavaScript 。雖然這些內容不會被儲存到資料庫中,但這些連結可能會被髮送給受害者用於惡意目的。
詳情
- 在 WooCommerce 8.5 中,我們釋出了訂單歸因功能 (Order Attribution feature)。這個可選功能使用 Sourcebuster.js 庫讀取流量來源資料。
- 在 WooCommerce 8.8 中,我們修改了該功能的客戶端部分的實現方式。此更改使用 Sourcebuster 收集的資料來構造可以與註冊和經典結賬表單一起提交的輸入欄位。因此,這導致了一個漏洞,允許攻擊者向頁面注入程式碼。
如何判斷這是否影響我?
要確定您的 WooCommerce 安裝是否易受攻擊,請檢查您正在執行的 WooCommerce 版本。如果您的商店執行的是 WooCommerce 8.8 或更高版本,並且啟用了訂單歸因 (Order Attribution),您的商店就會受到此問題的影響。 需要注意的是,這些版本的 WooCommerce 預設啟用了訂單歸因功能。
我們正在採取的措施
我們已經採取了以下預防措施:
- 補丁開發:已經開發了補丁來解決此問題,並已回溯到 WooCommerce 8.8 和 8.9 。
接下來,我們將進行全面的回顧,找出可以避免這種情況的方法。
我應該採取什麼行動?
如果您受到此問題的影響,您應立即採取以下措施之一:
- 更新到 WooCommerce 8.9.3 或回溯版本 8.8.5 。雖然修復也包含在 WooCommerce 9.0 中,但我們不建議等待。您可以使用以下連結下載它們:
- WooCommerce 8.9.3 (zip)
- WooCommerce 8.8.5 (zip)
- 如果您無法立即更新,您應該禁用訂單歸因。此漏洞僅在啟用訂單歸因時才可能被利用。禁用訂單歸因是一個好的臨時修復,但我們強烈建議您定期升級 WooCommerce 。
感謝
感謝 ecaron 透過我們的 HackerOne 漏洞賞金計劃報告此漏洞。我們感謝您的披露。
發表回覆