WooCommerce作为全球最受欢迎的开源免费电子商务系统,其WordPress插件存在安全漏洞使得用户易受XSS(跨站脚本)攻击。这个漏洞至关重要,因为根据WP插件目录最新统计,它影响着超过一百万WordPress插件的储存能力。
荷兰安全公司安全研究人员发现了这一漏洞,而今年他们已经设定发现并报告WordPress平台上的安全漏洞。
然而恶意图像成为XSS攻击的载体,依照技术性解释,漏洞在于:WooCoomerce从上传图片的拉元数据,并使用它作为标题和描述字段为附近商店的前端图像字幕。因为任何人都可以自由地标记图片的原数据,攻击者只需要输入在原数据领域和社会工程师的XSS有效载荷,欺骗用户使用恶意形象为他产品服务。
当WooCommerce显示图像,无论是后台存储管理面板,恶意代码都可以执行所需的攻击。因为XSS是用于发射所有种类的在线应用程序的攻击的完美入口,攻击者只需要适当有效的窃取跨站请求并伪造令牌接管管理员权限即可。安全人员只检测了WooCommerce版本2.6.2的漏洞,而WooCommerce2.6.3版本已经解决了这个问题。
由于WordPress也使用原数据内容填写影响标题和上传,并嵌入网站图片嵌入说明。Softpedia的已经达到了公司并询问如何修补WordPress漏洞的最佳方案。
众所周知,黑客入侵、网络攻击以及其他数字化安全漏洞从来都是有百害而无一利的。多样化的攻击手段层出不穷,传统的安全解决方案越来越难以应对网络安全攻击。如果你想自己的应用在安全方面无懈可击,不要羞于寻求帮助,真的出现漏洞,就为时过晚了。康众智防企业级网络前端防御系统,可以为网站提供精准的实时保护,使其免受漏洞所累。
