Vulnerabilità XSS in WooCommerce: Ecco Come Mettere al Sicuro il Tuo E-commerce

Recentemente è stata scoperta una vulnerabilità di tipo Cross-Site Scripting (XSS) nelle versioni 8.8.0 e successive di WooCommerce, piattaforma di e-commerce open-source costruita per WordPress. Questa vulnerabilità interessa le pagine con moduli di registrazione e checkout, permettendo l’iniezione di HTML e JavaScript dannosi.

Dettagli Tecnici

La vulnerabilità deriva da una modifica nella funzione di attribuzione degli ordini, introdotta inizialmente in WooCommerce 8.5 e modificata nella versione 8.8. Utilizza la libreria Sourcebuster.js per leggere i dati di origine del traffico.

Gli attori malintenzionati possono manipolare i link per includere contenuti dannosi, che se cliccati dagli utenti, eseguono codice malevolo.

Mitigazione

Si consiglia di aggiornare immediatamente a WooCommerce 8.9.3 o alla versione retroattiva 8.8.5. In alternativa, è possibile disabilitare temporaneamente l’attribuzione degli ordini per mitigare il rischio.

Maggiori Dettagli

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione