此XSS漏洞(CVE-2019-9168)存在于Photoswipe缩放显示功能中,其中WooCommerce无法对图像的标题和标题数据进行检查。此漏洞允许攻击者将任意代码注入到基于WooCommerce的网站中。当受害者访问注入了攻击代码的网页时,攻击者就可以控制受害者的浏览器、劫持当前的WooCommerce会话、收集敏感信息等。
此XSS漏洞会影响WooCommerce 3.5.4及其之前版本。
根据FortiGuard Labs提供的0day警报,WooCommerce团队发布了软件补丁。从公告中,我们可以看到WooCommerce修复程序现在会对标题和标题数据进行检查。
要重现此漏洞,第一步是上传图像并将JavaScript代码插入图像的标题字段。在WordPress中,将图像上传到低权限帐户不需要WooCommerce插件访问权限。
因为只有像管理员这样的高权限帐户才能添加任意JavaScript代码,所以研究人员使用低权限账户插入已杀菌的代码“<img src=1onerror=prompt('1')>”(注意:删除双引号)。
插入XSS代码
然后,一旦有人将此受感染的图像添加为产品图像或添加到产品库中,XSS代码就会插入到产品页面中。
当受害者查看此产品,打开并放大产品图像时,XSS代码就会自动运行。
为了简化攻击过程,攻击者可以将图片的的标题和主题改为“<img src=1onerror=prompt('2')>”(注意:删除双引号)。
然后,攻击者可以将此图像共享给网站管理员。当管理员将此图像用作产品图像或将其添加到产品库时, XSS代码会自动插入。
攻击者可以利用此漏洞劫持当前用户会话、控制受害者的浏览器等等。由于攻击目标是电子商务网站,因此攻击者可以收集银行卡信息、地址等敏感数据。
- 赞助本站
- 微信扫一扫
-
- 加入Q群
- QQ扫一扫
-
评论