10秒后自動關(guān)閉
WordPress的WooCommerce插件存在最新跨站腳本漏洞(CNVD-2024-45436、CVE-2024-10168)

WordPress是一款廣受歡迎的、世界知名的博客程序,其不光可以搭建博客網(wǎng)站,還被用于搭建企業(yè)網(wǎng)站、電商網(wǎng)站等等,應用非常廣泛,用戶也非常多。

Active Products Tables for WooCommerce 是一款用于 WooCommerce 電商平臺的插件,它允許你創(chuàng)建并顯示活躍產(chǎn)品表格,包括最受歡迎的產(chǎn)品、最新上架的產(chǎn)品、銷量最高的產(chǎn)品等。


國家信息安全漏洞共享平臺于2024-11-20公布該插件存在跨站腳本漏洞。

漏洞編號:CNVD-2024-45436、CVE-2024-10168

影響產(chǎn)品:WordPress Active Products Tables for WooCommerce plugin <=1.0.6.4

漏洞級別

公布時間:2024-11-20

漏洞描述:漏洞源于該插件的 woot_button 函數(shù)對用戶提供的數(shù)據(jù)缺乏安全處理,導致存在跨站腳本漏洞,不法分子可利用該漏洞注入執(zhí)行任意Web腳本或HTML,可獲取敏感信息或劫持用戶會話。



解決辦法:

目前廠商已經(jīng)發(fā)布修復補丁,補丁詳情:https://www.cnvd.org.cn/patchInfo/show/622861

另外根據(jù)網(wǎng)上信息,此插件在1.0.6.1版本也出現(xiàn)過跨站腳本漏洞,可以看出此程序的漏洞沒有中斷過,如果僅僅依靠官方補丁,不一定能永絕后患,建議部署第三方防護系統(tǒng)進行防護。

可以使用『護衛(wèi)神·防入侵系統(tǒng)』的SQL注入防護模塊來解決該漏洞問題,該模塊除了防SQL注入,還可以防跨站腳本漏洞。不止對該漏洞有效,對所有SQL注入和跨腳本漏洞都可以防護。



1、SQL注入防護和XSS跨站攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖一)除了攔截SQL注入,還可以攔截xss跨站腳本,一并解決ZZCMS的其他安全漏洞,攔截效果如圖四。


SQL注入防護模塊

(圖一:SQL注入防護模塊)



xss攻擊防護

(圖二:XSS跨站腳本攻擊防護)



SQL注入攔截效果

(圖三:SQL注入攔截效果)



2、防篡改保護

如果對安全要求較高,還可以使用『護衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護”模塊,對WordPress做防篡改保護。

在“篡改防護-添加CMS防護”(如圖五)。選擇網(wǎng)站目錄,安全模板選擇“WordPress安全模板”,并填寫正確的后臺地址,點擊“確定”按鈕,就添加好了。

護衛(wèi)神.防入侵系統(tǒng)內(nèi)置有WordPress的篡改防護規(guī)則,只需簡單設置即可解決,非常方便!

添加WordPress防篡改規(guī)則

(圖五:添加WordPress防篡改規(guī)則)



設置好以后,防入侵系統(tǒng)就會對后臺進行保護,后期訪問時需要先驗證授權(quán)密碼(如圖六),只有輸入了正確的密碼才能訪問。

網(wǎng)站后臺保護

(圖六:訪問后臺需要輸入授權(quán)密碼)