本文摘自掘金-中科天齐软件安全中心,原文地址:https://juejin.cn/news/7007989119309578247,侵删。
该安全漏洞可被恶意CSV文件利用。
复制代码WooCommerce Multi Currency 插件中的一个安全漏洞可允许任何客户更改在线商店中产品的定价。
WooCommerce是一个流行的电子商务插件,适用于WordPress驱动的网站;Multi Currency插件允许电子零售商为国际购物者设置定价;该插件会自动检测客户的地理位置并以客户所在国家/地区的货币显示价格,并根据当前汇率手动或自动设置汇率。它在Envato市场上有7,700份销售额。
据NinTechNet称,该问题是2.1.17及以下版本的访问控制漏洞,影响Multi Currency的“导入固定价格”功能,该功能允许电子商务网站设置自定义价格,从而覆盖任何由汇率自动计算的价格。
根据NinTechNet分析,import函数import_csv()是由“woocommerce-multi-currency/includes/import-export/import-csv.php”脚本中的wmc_bulk_fixed_price AJAX钩子加载的。“该功能缺乏即时的能力检查和安全随机数,因此所有经过认证的用户都可以访问,其中包括WooCommerce的客户。”
为了利用该问题,网络攻击者可以将特制的CSV文件上传到该站点,该文件使用产品的当前货币和产品ID。这允许他们改变一种或多种产品的价格。
他们表示:“这一漏洞对销售数字商品的网上商店的损害尤其严重,因为攻击者将有时间下载商品。并且核实每一个订单很重要。因为黑客不会改变后端产品的价格,因此商店经理不太可能立即注意到。”
为避免受到影响,网站管理员应更新到包含补丁的最新版本的插件v. 2.1.18。
WooCommerce用户最近继续面临修补程序的要求。8月下旬,Envato的WooCommerce动态定价和折扣插件的两个安全漏洞被披露,这可能允许未经身份验证的攻击者向运行未修补版本的网站注入恶意代码。这可能导致各种攻击,包括网站重定向到钓鱼页面,在产品页面插入恶意脚本等。
今年7月,WooCommerce电子商务平台和相关插件的一个关键sql注入安全漏洞被发现为0 day漏洞。【WooCommerce存在严重安全漏洞或将影响200,000多站点 】WooCommerce针对该问题发布了紧急补丁。此漏洞允许未经认证的网络攻击者从在线商店的数据库中窃取大量信息,包括客户数据、支付卡信息到员工证书。
安全漏洞“协助”犯罪分子对网络发起攻击,数据显示,90%的网络安全事件与安全漏洞利用有关,而重视安全编码,在开发期间通过静态代码分析技术可以帮助开发人员减少30%-70%的安全漏洞,从而加强软件安全和网络抵御攻击的能力,可以说软件安全是网络安全最后一道防线。
随着万物互联时代来临,越来越多的数据产生并存储在互联网上,安全漏洞将使这些数据面临泄露风险。通过在应用软件开发期间利用静态代码检测技术不断发现并修复代码缺陷及安全漏洞,可以提高软件安全性为抵御网络攻击筑牢安全基础。
相关阅读 >>
更多相关阅读请进入《WooCommerce》频道 >>
