رفع آسیب‌پذیری XSS در ووکامرس با آپدیت نسخه جدید

21 خرداد 1404 5 بازدید

آسیب‌پذیری XSS ووکامرس

در نسخه‌های اخیر ووکامرس، آسیب‌پذیری امنیتی خطرناکی با نام XSS مشاهده شده که بخش‌هایی مانند فرم ثبت‌نام و پرداخت را تحت تأثیر قرار می‌دهد. این مشکل امنیتی به مهاجمان اجازه می‌دهد که کدهای HTML و JavaScript مخرب را به صفحات وب تزریق کنند. توسعه‌دهندگان ووکامرس، با انتشار نسخه‌های بهبود یافته مانند WooCommerce 8.9 و نسخه جدید WooCommerce 9.0، این مشکل را به طور کامل برطرف کرده‌اند. اگر نسخه‌ای پایین‌تر از ووکامرس 8.9 استفاده می‌کنید، لازم است برای حفظ امنیت فروشگاه خود، سریعاً اقدام به آپدیت کنید.

آسیب‌پذیری امنیتی XSS در ووکامرس

در نسخه 8.8 ووکامرس، یک آسیب‌پذیری امنیتی شناخته شده پیدا شد که امکان حملات اسکریپت‌نویسی بین‌سایتی (XSS) را فراهم می‌کند. این نوع حملات به مهاجمان امکان می‌دهد تا کدهای مخرب را از طریق لینک‌های دستکاری شده وارد کنند. هرچند این لینک‌ها ذخیره نمی‌شوند، اما می‌توانند برای اهداف مخرب به کاربران ارسال شوند.

شرح کامل این آسیب‌پذیری در ووکامرس

  • در نسخه 8.5 ووکامرس، ابزار جدیدی به نام Order Attribution معرفی شد که از کتابخانه Sourcebuster.js برای جمع‌آوری داده‌های مربوط به منابع ترافیکی استفاده می‌کرد.
  • در نسخه 8.8، نحوه استفاده از ویژگی Order Attribution تغییر کرد و داده‌های دریافتی توسط Sourcebuster برای ایجاد فیلدهای جدید در فرم‌های ثبت‌نام و پرداخت استفاده شد. این تغییر باعث ایجاد یک نقطه ضعف امنیتی شد که امکان تزریق کد مخرب توسط مهاجمان را فراهم ساخت.

آیا همه فروشگاه‌ها تحت تأثیر این آسیب‌پذیری قرار می‌گیرند؟

برای بررسی اینکه آیا فروشگاه شما در معرض این آسیب‌پذیری قرار دارد یا خیر، ابتدا نسخه ووکامرس نصب‌شده را بررسی کنید. اگر نسخه فروشگاه شما 8.8 یا بالاتر است و ویژگی Order Attribution فعال شده باشد، فروشگاه شما ممکن است آسیب‌پذیر باشد. به این نکته توجه کنید که ویژگی Order Attribution به طور پیش‌فرض در نسخه‌های زیر فعال است:

  • 8.8.0
  • 8.8.1
  • 8.8.2
  • 8.8.3
  • 8.8.4
  • 8.9.0
  • 8.9.1
  • 8.9.2

برای جلوگیری از وقوع این مشکل امنیتی در ووکامرس:

  • پچ‌هایی طراحی شده‌اند که این آسیب‌پذیری را برطرف کرده و به نسخه‌های WooCommerce 8.8 و 8.9 نیز بک‌پورت شده‌اند.
  • برای اطمینان بیشتر، یک بازبینی کامل انجام دهید و روش‌هایی برای پیشگیری از وقوع مشکلات آینده در نظر بگیرید.

اگر فروشگاه شما تحت تأثیر قرار گرفته است، باید سریعاً یکی از موارد زیر را انجام دهید:

  • نسخه فروشگاه خود را به WooCommerce 8.9.3 یا نسخه بک‌پورت شده 8.8.5 به‌روزرسانی کنید. همچنین می‌توانید به نسخه جدید WooCommerce 9.0 آپدیت کنید.
  • اگر امکان به‌روزرسانی فوری ندارید، پیشنهاد می‌شود که ویژگی Order Attribution را غیرفعال کنید. این اقدام موقت تا زمان آپدیت فروشگاه شما مفید است، اما به‌روزرسانی همچنان ضروری است.