我們釋出此公告是為了提醒WooCommerce社群,WooCommerce 8.8.0及更高版本中存在一個跨站指令碼攻擊 (XSS) 漏洞,這是透過我們持續的主動安全測試過程中發現的。我們已經發布了補丁。
這個問題出現在包含註冊和經典結賬的頁面上,允許向頁面注入HTML和JavaScript。我們已經發布了WooCommerce 8.9的補丁版本,並將修復回溯到WooCommerce 8.8。此修復也將包含在WooCommerce 9.0中。如果您正在執行WooCommerce 8.8.0或更高版本,我們強烈建議您儘快更新。
問題概述
WooCommerce 8.8中引入的一個漏洞允許跨站指令碼攻擊 (XSS)——這是一種攻擊方式,惡意行為者可以操縱連結以在頁面上包含惡意內容,例如JavaScript。雖然這些內容不會被儲存到資料庫中,但這些連結可能會被髮送給受害者用於惡意目的。
詳情
- 在WooCommerce 8.5中,我們釋出了訂單歸因功能 (Order Attribution feature)。這個可選功能使用Sourcebuster.js庫讀取流量來源資料。
- 在WooCommerce 8.8中,我們修改了該功能的客戶端部分的實現方式。此更改使用Sourcebuster收集的資料來構造可以與註冊和經典結賬表單一起提交的輸入欄位。因此,這導致了一個漏洞,允許攻擊者向頁面注入程式碼。
如何判斷這是否影響我?
要確定您的WooCommerce安裝是否易受攻擊,請檢查您正在執行的WooCommerce版本。如果您的商店執行的是WooCommerce 8.8或更高版本,並且啟用了訂單歸因 (Order Attribution),您的商店就會受到此問題的影響。 需要注意的是,這些版本的WooCommerce預設啟用了訂單歸因功能。
我們正在採取的措施
我們已經採取了以下預防措施:
- 補丁開發:已經開發了補丁來解決此問題,並已回溯到WooCommerce 8.8和8.9。
接下來,我們將進行全面的回顧,找出可以避免這種情況的方法。
我應該採取什麼行動?
如果您受到此問題的影響,您應立即採取以下措施之一:
- 更新到WooCommerce 8.9.3或回溯版本8.8.5。雖然修復也包含在WooCommerce 9.0中,但我們不建議等待。您可以使用以下連結下載它們:
- WooCommerce 8.9.3 (zip)
- WooCommerce 8.8.5 (zip)
- 如果您無法立即更新,您應該停用訂單歸因。此漏洞僅在啟用訂單歸因時才可能被利用。停用訂單歸因是一個好的臨時修復,但我們強烈建議您定期升級WooCommerce。
感謝
感謝ecaron透過我們的HackerOne漏洞賞金計劃報告此漏洞。我們感謝您的披露。
發表回覆