实时查找和替换WordPress插件中的漏洞可能被攻击者用来创建恶意管理员帐户。
该实时查找和替换WordPress插件是在超过10万的网站目前安装的,它允许用户动态(即当发生页面的时间)取代从主题和其他插件的代码和他们选择的文本之前代码和文本页面被传送到用户的浏览器。查找和替换是实时发生的,这意味着无需更改插件和主题就可以完成查找和替换,从而使升级变得容易。该漏洞是由Wordfence研究人员发现的,它是一个跨站点请求伪造漏洞,可能导致存储跨站点脚本(Stored XSS)攻击。攻击者可以通过单击评论或电子邮件中的恶意链接,诱使WordPress管理员诱使WordPress管理员将恶意Javascript注入其网站页面。“ 2020年4月22日,我们的威胁情报团队在Real-Time Find and Replace中发现了一个漏洞,该漏洞 已安装在100,000多个站点上,是一个WordPress插件。如果用户可以诱使网站管理员执行某项操作(例如单击评论或电子邮件中的链接),则该漏洞可能允许任何用户向该网站的任何位置注入恶意Javascript。” 读取WordFence发布的分析。
WordFence于2020年4月22日向插件开发团队报告了此问题,他们仅在几个小时后发布了补丁。Wordfence将该漏洞评为严重程度高的问题,并将其CVSS评分为8.8。该漏洞影响所有3.9以下的实时查找和替换版本,开发人员通过4.0.2版本解决了该问题。该漏洞可能允许攻击者接管目标Wordpress网站,然后,只要用户导航到包含原始内容的页面,恶意代码就会执行。攻击者可以利用此漏洞将HTML标签替换为恶意Javascript。这将导致恶意代码在受影响站点的几乎每个页面上执行,因为几乎所有页面都以页面标题的HTML标记开头,如果被成功利用,将会产生重大影响。” 继续报告。“恶意代码可用于注入新的管理用户帐户,窃取会话COOKIE或将用户重定向到恶意站点,从而使攻击者能够获得管理访问权限或感染浏览受感染站点的无辜访客
专家解释说,要在网站数据发送到用户浏览器之前替换内容,该插件将注册一个子菜单页面,该页面与功能far_options_page绑定, 并具有对activate_plugins的功能要求 。该 far_options_page 功能包括增加新的查找和替换规则的代码,但专家发现,它没有使用随机数的验证,这意味着它无法规则更新过程中检查请求的源的完整性。这意味着攻击者可以发起跨站点请求伪造攻击。用户应立即更新到版本4.0.2,当时少于3万名用户将其实时查找和替换安装更新为4.0.2。不幸的是,尝试利用WordPress插件中的漏洞的攻击数量继续增加。几周前,NinTechNet的研究人员 报告了一项正在进行的活动,该活动正在积极利用WooCommerce 插件的WordPress 灵活结帐字段中的零日漏洞 。最近观察到的其他攻击是:- 2020年1月– InfiniteWP插件 中的身份验证绕过漏洞 可能会受到300,000多个站点的影响。
- 2020年1月–由于代码片段插件中存在严重的跨站点请求伪造(CSRF)错误,超过20万个WordPress网站受到攻击 。
- 2020年2月– ThemeGrill Demo Importer WordPress主题插件存在严重漏洞, 活跃安装量超过200,000,可以利用它擦除网站并获得对该网站的管理员访问权限。
- 2020年2月– GDPR COOKIE同意插件 中存储的跨站点漏洞 可能会影响70万用户。
- 2020年2月– ThemeREX Addons 中的零日漏洞 被狂野的黑客利用,以创建具有管理员权限的用户帐户。
- 2020年3月– WordPress插件“ ThemeREX Addons ”受到一个严重漏洞的影响,该漏洞可能允许远程攻击者执行任意代码。
- 2020年3月– Popup Builder WordPress插件中的缺陷 可能允许未经身份验证的攻击者向100K +网站的弹出窗口中注入恶意Javascript代码。
- 2020年3月– Rank Math WordPress插件中的一个严重漏洞使黑客能够向用户授予管理员权限
京公网安备 11010802041100号