文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

三个含有相同漏洞的插件使84000个WordPress网站面临风险

2024-12-02 08:45

关注

2021年11月5日,Wordfence威胁情报团队披露了研究人员在 "Login/Signup Popup "插件中发现的一个漏洞。Wordfence的研究人员在周四发表的一篇文章中写道,该WordPress插件安装在2万多个网站上。

然而,几天后,他们发现同一开发公司的另外两个插件中也存在这个漏洞,该开发商是XootiX。其他的两款插件是 "Side Cart Woocommerce (Ajax)",已经安装在6万多个网站上,以及 "Waitlist Woocommerce (Back in stock notifier)",已经安装在4千多个网站上。

“Login/Signup Popup”是一个简单轻量级的插件,根据其网站的描述,它可以简化网站的注册、登录和密码重置的过程。Side Cart Woocommerce可以和创建电子商务商店的Woocommerce插件配合使用,该插件允许网站的用户从网站的任何地方访问他们放在购物车中的物品。Waitlist Woocommerce也可与Woocommerce一起使用,该插件为电子商务网站增加了跟踪缺货商品需求的功能。

根据官方的帖子,截至目前,所有的插件都已更新完成,并修补了漏洞。11月24日,开发者发布了Login/Signup Popup的2.3版本的补丁。后来,在12月17日,发布了Waitlist Woocommerce的补丁版本,即2.5.2版;以及Side Cart Woocommerce的补丁版本,即2.1版。

不过,由于该漏洞的多次出现,这个现象也反映了WordPress插件中一直含有可利用漏洞的问题。事实上,根据RiskBased Security的数据,插件中的漏洞的数量在2021年以三位数的速度在迅速增加。

漏洞产生的原理

研究人员写道,Wordfence团队发现的漏洞是相当重要的。他们说,这三个插件都注册了save_settings函数,并且该函数是通过wp_ajax来启动的。

在每一个插件中,这个函数都缺少了nonce检查,这意味着插件并没有验证请求的合法性。

研究人员写道:"假设有这样的一个场景,攻击者可以发起一个请求,触发AJAX函数并执行该功能。然而,利用这个漏洞,只要网站管理员点击了一个链接或浏览到了某个网站,同时管理员会被认证到这个目标网站。

她在帖子中解释道,在这些情况下,请求将会被成功发送并触发一系列的事件,这将使得攻击者能够在该网站上修改任意的选项。

研究人员指出,利用任意选项更新漏洞进行攻击是威胁者经常使用的攻击方式,由此他们可以更新WordPress网站上的任何选项,并最终接管该服务器。

她解释说,如果攻击者将user_can_register选项设为true,default_role选项设为admin,这样他们就可以作为管理员在有漏洞的网站上进行注册。

漏洞带来的风险以及缓解措施

虽然在插件中所发现的漏洞需要管理员的操作,这也就使得它们不太可能被利用,但如果它们被利用的话,就会产生重大影响。

因此,养成一个良好的安全习惯非常重要,在点击链接或附件时要保持警惕,并确保定期对插件和主题进行更新。

对使用这些插件的WordPress用户的建议是,确保他们的网站已经更新到了每个插件的最新补丁版本。他们分别是 "Login/Signup Popup"的2.3版本,"Waitlist Woocommerce(Back in stock notifier)"的2.5.2版本,以及 "Side Cart Woocommerce(Ajax)"的2.1版本。

根据该帖子,所有的Wordfence用户都已经受到了保护,可以免受该漏洞的影响。Wordfence高级用户在11月5日更新了防火墙规则,可以防止任何针对他们的漏洞进行的攻击,仍在使用Wordfence免费版的网站在12月5日受到了同样的保护措施。

本文翻译自:https://threatpost.com/plugins-vulnerability-84k-wordpress-sites/177654/如若转载,请注明原文地址

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯