رفع مشکل امنیتی XSS ووکامرس با بروزرسانی به نسخه جدید

مشکلی با عنوان XSS در فروشگاه‌های اینترنتی در نسخه‌های سری ۸ دیده شده که مربوط به صفحات ثبت‌نام و پرداخت می‌شوند، دیده شده که تیم توسعه برای رفع مشکل امنیتی XSS ووکامرس، آن را برطرف کرده بروز کردند.

در این باگ امنیتی امکان تزریق HTML و جاوا اسکریپت به صفحه وجود دارد.

قبلاً یک نسخه بچ از WooCommerce 8.9 منتشر شده و به اصلاح WooCommerce 8.8 پرداخته شده است. این اصلاح در WooCommerce 9.0 نیز گنجانده شده و اگر WooCommerce 8.8.0 یا بالاتر را نصب دارید، حتما بروزرسانی کنید.

مشکل امنیتی XSS ووکامرس

یک مشکل امنیتی شناخته شده در WooCommerce 8.8 دیده شده که امکان اسکریپت‌نویسی بین سایتی را فراهم می‌کند

در واقع این نوعی حمله که در آن یک فرد مخرب و هکر می‌تواند پیوندی را برای گنجاندن محتوای مخرب، به عنوان مثال، جاوا اسکریپت، در یک صفحه دستکاری کند. در حالی که محتوا در پایگاه داده ذخیره نمی‌شود اما ممکن است پیوندها برای اهداف مخرب به قربانیان ارسال شود.

جزئیات مشکل امنیتی در ووکامرس

• در WooCommerce 8.5، ویژگی Order Attribution منتشر شده که این ویژگی اختیاری از کتابخانه Sourcebuster.js برای خواندن داده‌های منبع ترافیک استفاده می‌کند.
• در WooCommerce 8.8، نحوه اجرای بخش سمت مشتری این ویژگی تغییر داده شده که این تغییر از داده‌های جمع‌آوری‌شده توسط Sourcebuster برای ساخت فیلدهای ورودی استفاده کرد که می‌توانستند با فرم‌های ثبت‌نام و پرداخت ارسال شوند. در نتیجه، این امر یک آسیب‌پذیری ایجاد کرد که به مهاجمان اجازه می‌داد کد را به صفحه تزریق کنند.