На 14 февруари 2026 г. засекохме реална и работеща Stored XSS атака, извършена чрез фалшива WooCommerce поръчка и експлоатираща начина, по който PixelYourSite записва HTTP Referer.
Това не е хипотеза. Това се случи в продукционна среда.
Как работи атаката
- Атакуващият създава фалшива поръчка.
- Манипулира HTTP Referer хедъра.
- PixelYourSite записва referrer-а като „Traffic Source“ в order meta.
- Данните се визуализират в админ панела без escaping.
- При отваряне на поръчката браузърът изпълнява зловредния JavaScript.
- Скриптът:
- Зарежда
/wp-admin/user-new.php - Извлича CSRF nonce
- Създава нов администраторски акаунт чрез активната админ сесия
- Зарежда
Няма brute force. Няма пробив в WordPress.
Използва се вашата собствена админ сесия.
Реалната хронология
07:01 – Отваряне на фалшива поръчка
07:01 – Зловредният <script> се изпълнява
07:09:33 – Зарежда се user-new.php във фонов режим
07:09:42 – Създаден е нов администратор
07:10 – Получен имейл за нов потребител
07:10:35 – Акаунтът е изтрит
Акаунтът е съществувал под 1 минута.
Как изглежда отвън
Поръчката изглежда напълно нормално:
- Име и фамилия
- Реален адрес
- Телефон
- Имейл (често proton.me)
- Наложен платеж
Зловредният код е скрит в „Traffic Source“ секцията на PixelYourSite.
Няма визуален индикатор.
Кой е засегнат
Всеки WooCommerce магазин с активен PixelYourSite, който записва HTTP Referer и визуализира мета данните в админ панела.
Какво да направите НЕЗАБАВНО
1. НЕ ОТВАРЯЙТЕ НИКАКВИ ПОРЪЧКИ
Не отваряйте абсолютно никакви поръчки в админ панела,
преди да деактивирате PixelYourSite.
Всеки отворен order може да активира XSS отново.
2. Деактивирайте PixelYourSite
Временно изключете (Deactivate) плъгина, докато не бъде официално потвърдено, че проблемът е отстранен.
3. Проверете за компрометирани акаунти
wp-admin → Users
Потърсете непознати администратори.
4. Сменете WordPress salts
Генерирайте нови security keys и ги заменете в wp-config.php.
5. Проверете базата данни
Търсете подозрителни записи в order meta:
<script><iframe><img>- Непознати домейни
Ако не сте сигурни – направете проверката през база данни (не през админ интерфейса).
Защо това е сериозно
Това е Stored XSS в административна среда.
Атакуващият:
- Не хаква WordPress директно
- Не разбива пароли
- Не използва SQL injection
Той чака администраторът сам да отвори поръчката.
Една фалшива поръчка е достатъчна за пълен администраторски достъп.
Заключение
Фалшивите поръчки вече не са просто спам.
Те могат да бъдат входна точка за пълен административен компромис.
Ако управлявате WooCommerce магазин – реагирайте веднага.
Ако сте агенция – уведомете клиентите си.
Сигурността не се чупи отвътре.
Тя се чупи, когато доверим потребителски данни без проверка.






