由两款使用范围极广的WordPress插件所导致的一项安全漏洞已经被攻击者们所利用,而且根据一家计算机安全厂商所报告,这将直接令数百万个WordPress站点面临安全风险。
这两款插件分别为JetPack——一款自定义与性能工具——以及Twenty Fifteen——用于实现无限滚动,来自安全厂商Sucuri公司的恶意软件研究人员David Dede在一篇博文中写道。WordPress会默认安装Twenty Fifteen,而这无疑大大增加了站点遭遇攻击活动的风险。
两款插件都使用了一套名为genericons的软件包,其中包含有嵌入字体的矢量图标。在这套软件包中,名为“example.html”的文件存在不安全因素,而这直接导致该软件包极易被攻击者渗透,Dede在博文中写道。
此次曝光的安全漏洞藏身于genericons当中且极难被发现,Dede写道。这是一项XSS(即跨站点脚本)漏洞,其中恶意有效负载会假借浏览器DOM(即文档对象模型)修改结果的姿态得以运行。根据W3C的解释,DOM这一编程API的作用是负责定义HTML与XML文档如何实现访问与显示。
Dede在博文中指出,由此交付的有效负载会直接在浏览器内得到执行,而不会抵达服务器端。这意味着Web应用程序防火墙对此无能为力——既发现不了、亦阻止不成。
Dede在文章中表示,Sucuri公司发现了一种以虚拟纪方式修复该漏洞的办法,但这项基于DOM的XXS漏洞“极难被阻断”。
在攻击活动得手的情况下,受害者会被引导并点击某条恶意链接。
一部分托管厂商及服务项目,例如GoDaddy、DreamHost以及ClickHost,都已经进行过虚拟补丁安装或者采取其它办法保护用户安全,Dede补充称。
WordPress被广泛应用于Web领域的内容发布工作当中,因此其中的安全漏洞往往会带来严重影响。根据WordPress缔造厂商的估计,其目前在全部互联网站点中的运行比例大概为23%,其中包括《时代》以及美国有线电视新闻网等媒体巨头。
就在上个月,WordPress刚刚通过补丁修复了两项与此次状况类似的严重跨站点脚本漏洞。当时曝光的两项漏洞允许恶意JavaScript代码进入评论字段并实现运行。