Wordpress Vulnerability 65710a118722e Sej

Критична Stored XSS атака през WooCommerce + PixelYourSite

На 14 февруари 2026 г. засекохме реална и работеща Stored XSS атака, извършена чрез фалшива WooCommerce поръчка и експлоатираща начина, по който PixelYourSite записва HTTP Referer. Това не е хипотеза. Това се случи в продукционна среда. Как работи атаката Няма brute force. Няма пробив в WordPress.Използва се вашата собствена админ сесия. Реалната хронология 07:01 – Отваряне на фалшива поръчка07:01 – Зловредният <script> се изпълнява07:09:33 – Зарежда се user-new.php във фонов режим07:09:42 – Създаден е нов администратор07:10 – Получен имейл за нов потребител07:10:35 – Акаунтът е изтрит Акаунтът е съществувал под 1 минута. Как изглежда отвън Поръчката изглежда напълно нормално:…

Чуйте статията Аудио версия от 88Lab.eu
20.06.2026
Отвори MP3

СЪДЪРЖАНИЕ:

На 14 февруари 2026 г. засекохме реална и работеща Stored XSS атака, извършена чрез фалшива WooCommerce поръчка и експлоатираща начина, по който PixelYourSite записва HTTP Referer.

Това не е хипотеза. Това се случи в продукционна среда.

Как работи атаката

  1. Атакуващият създава фалшива поръчка.
  2. Манипулира HTTP Referer хедъра.
  3. PixelYourSite записва referrer-а като „Traffic Source“ в order meta.
  4. Данните се визуализират в админ панела без escaping.
  5. При отваряне на поръчката браузърът изпълнява зловредния JavaScript.
  6. Скриптът:
    • Зарежда /wp-admin/user-new.php
    • Извлича CSRF nonce
    • Създава нов администраторски акаунт чрез активната админ сесия

Няма brute force. Няма пробив в WordPress.
Използва се вашата собствена админ сесия.

СВЪРЗАНИ ТЕМИ: Внимавайте с Google Core Vitals

Реалната хронология

07:01 – Отваряне на фалшива поръчка
07:01 – Зловредният <script> се изпълнява
07:09:33 – Зарежда се user-new.php във фонов режим
07:09:42 – Създаден е нов администратор
07:10 – Получен имейл за нов потребител
07:10:35 – Акаунтът е изтрит

Акаунтът е съществувал под 1 минута.

Как изглежда отвън

Поръчката изглежда напълно нормално:

  • Име и фамилия
  • Реален адрес
  • Телефон
  • Имейл (често proton.me)
  • Наложен платеж

Зловредният код е скрит в „Traffic Source“ секцията на PixelYourSite.

Няма визуален индикатор.

СВЪРЗАНИ ТЕМИ: Оптимизация за скорост на WordPress сайт (наръчник 2026)

Кой е засегнат

Всеки WooCommerce магазин с активен PixelYourSite, който записва HTTP Referer и визуализира мета данните в админ панела.

Какво да направите НЕЗАБАВНО

1. НЕ ОТВАРЯЙТЕ НИКАКВИ ПОРЪЧКИ

Не отваряйте абсолютно никакви поръчки в админ панела,
преди да деактивирате PixelYourSite.

Всеки отворен order може да активира XSS отново.

2. Деактивирайте PixelYourSite

Временно изключете (Deactivate) плъгина, докато не бъде официално потвърдено, че проблемът е отстранен.

3. Проверете за компрометирани акаунти

wp-admin → Users
Потърсете непознати администратори.

4. Сменете WordPress salts

Генерирайте нови security keys и ги заменете в wp-config.php.

5. Проверете базата данни

Търсете подозрителни записи в order meta:

  • <script>
  • <iframe>
  • <img>
  • Непознати домейни

Ако не сте сигурни – направете проверката през база данни (не през админ интерфейса).

Защо това е сериозно

Това е Stored XSS в административна среда.

Атакуващият:

  • Не хаква WordPress директно
  • Не разбива пароли
  • Не използва SQL injection

Той чака администраторът сам да отвори поръчката.

Една фалшива поръчка е достатъчна за пълен администраторски достъп.

Заключение

Фалшивите поръчки вече не са просто спам.

Те могат да бъдат входна точка за пълен административен компромис.

Ако управлявате WooCommerce магазин – реагирайте веднага.
Ако сте агенция – уведомете клиентите си.

Сигурността не се чупи отвътре.
Тя се чупи, когато доверим потребителски данни без проверка.

Искате ли да ви уведомим, когато има нова статия?