外媒:两款WordPress插件曝出安全漏洞

安全
由两款使用范围极广的WordPress插件所导致的一项安全漏洞已经被攻击者们所利用,而且根据一家计算机安全厂商所报告,这将直接令数百万个WordPress站点面临安全风险。

由两款使用范围极广的WordPress插件所导致的一项安全漏洞已经被攻击者们所利用,而且根据一家计算机安全厂商所报告,这将直接令数百万个WordPress站点面临安全风险。

[[133668]]

这两款插件分别为JetPack——一款自定义与性能工具——以及Twenty Fifteen——用于实现无限滚动,来自安全厂商Sucuri公司的恶意软件研究人员David Dede在一篇博文中写道。WordPress会默认安装Twenty Fifteen,而这无疑大大增加了站点遭遇攻击活动的风险。

两款插件都使用了一套名为genericons的软件包,其中包含有嵌入字体的矢量图标。在这套软件包中,名为“example.html”的文件存在不安全因素,而这直接导致该软件包极易被攻击者渗透,Dede在博文中写道。

此次曝光的安全漏洞藏身于genericons当中且极难被发现,Dede写道。这是一项XSS(即跨站点脚本)漏洞,其中恶意有效负载会假借浏览器DOM(即文档对象模型)修改结果的姿态得以运行。根据W3C的解释,DOM这一编程API的作用是负责定义HTML与XML文档如何实现访问与显示。

Dede在博文中指出,由此交付的有效负载会直接在浏览器内得到执行,而不会抵达服务器端。这意味着Web应用程序防火墙对此无能为力——既发现不了、亦阻止不成。

Dede在文章中表示,Sucuri公司发现了一种以虚拟纪方式修复该漏洞的办法,但这项基于DOM的XXS漏洞“极难被阻断”。

在攻击活动得手的情况下,受害者会被引导并点击某条恶意链接。

一部分托管厂商及服务项目,例如GoDaddy、DreamHost以及ClickHost,都已经进行过虚拟补丁安装或者采取其它办法保护用户安全,Dede补充称。

WordPress被广泛应用于Web领域的内容发布工作当中,因此其中的安全漏洞往往会带来严重影响。根据WordPress缔造厂商的估计,其目前在全部互联网站点中的运行比例大概为23%,其中包括《时代》以及美国有线电视新闻网等媒体巨头。

就在上个月,WordPress刚刚通过补丁修复了两项与此次状况类似的严重跨站点脚本漏洞。当时曝光的两项漏洞允许恶意JavaScript代码进入评论字段并实现运行。

责任编辑:蓝雨泪 来源: IT168
相关推荐

2023-07-29 11:15:47

2009-02-19 17:36:13

Windows MobMy Phone

2009-02-19 17:00:52

My PhoneWindows Mob安全漏洞

2023-12-08 13:18:27

2013-11-27 09:25:20

2023-09-21 22:34:56

2022-12-05 15:07:29

2022-08-21 15:52:12

安全苹果漏洞

2023-06-05 11:56:57

2009-02-09 09:13:13

Windows 7BetaUAC

2016-08-10 20:26:13

2022-02-17 11:54:18

漏洞数据库恶意代码

2015-03-12 11:35:48

开源软件Xen安全漏洞

2015-03-12 09:08:58

Xen云服务暂停开源

2022-02-14 07:54:27

漏洞WordPress

2023-04-04 22:20:53

2013-01-14 12:15:51

2009-02-03 09:01:40

2015-03-13 19:22:03

2015-08-26 10:14:29

点赞
收藏

51CTO技术栈公众号