未修补的WordPress插件代码注入漏洞影响5万个网站

  • A+
所属分类:安全漏洞

更多全球网络安全资讯尽在邑安全

未修补的WordPress插件代码注入漏洞影响5万个网站

从CRSF到XSS的存储安全漏洞困扰着50,000个Contact Form 7 Style的用户。

Contact Form 7 Style(一个安装在50,000多个站点上的WordPress插件)中的安全漏洞可能允许在受害网站上注入恶意JavaScript。

最新的WordPress插件安全漏洞是一种跨站点请求伪造(CSRF),用于以Contact Form 7样式存储跨站点脚本(XSS)问题,这是著名的Contact Form 7伞形插件的附加组件。在CVSS漏洞严重度等级中,它排名8.8(满分10)。

CSRF允许攻击者诱使受害用户执行他们不打算执行的操作。XSS允许攻击者在受害者用户的浏览器中执行任意JavaScript。此错误将两种方法联系在一起。

Wordfence的研究人员表示,尚无补丁程序,并且3.1.9及以下版本会受到影响。WordPress于2月1日从WordPress插件存储库中删除了该插件。

脆弱的Contact Form 7 Style

顾名思义,Contact Form 7用于创建网站使用的联系表。易受攻击的Contact Form 7 Style是一个加载项,可用于向使用Contact Form 7制作的那些表单添加其他铃声。

通过允许用户自定义网站的级联样式表(CSS)代码来执行此操作,该代码用于指示基于WordPress的网站的外观。据Wordfence研究人员称,这就是漏洞所在。

他们本周的一篇文章中解释说:“由于缺乏对此功能的清理和随机数保护,攻击者可以使用该插件提出将恶意JavaScript注入网站的请求,”他补充说,并将保留更多详细信息使网站所有者有机会解决此问题。“如果攻击者成功诱骗站点管理员单击链接或附件,则可以发送请求,并且CSS设置将成功更新为包含恶意JavaScript。”

由于该插件的已安装实例数量如此之多,由于受此插件关闭影响的站点数量众多,我们特意提供有关此漏洞的最少详细信息,以便为用户提供充足的时间来查找替代解决方案。我们可能会在以后继续监视情况时提供其他详细信息。

为了利用此漏洞,网络攻击者需要说服已登录的管理员单击恶意链接,这可以通过任何一种常见的社会工程方法(即,通过欺诈性电子邮件或即时消息)来完成。

Wordfence在12月初通知了该插件的开发人员该错误;在未收到任何回应后,研究人员随后于1月初将问题上报给WordPress插件小组。WordPress插件团队也没有与开发人员联系,没有任何回应,导致本周的披露。

如何防止恶意JavaScript注入

因为与所有CSRF漏洞一样,仅当管理员用户在对易受攻击的WordPress网站进行身份验证时执行操作时,才可以利用此漏洞,因此管理员在单击任何链接时应始终保持警惕。

Wordfence表示:“如果您觉得必须单击链接,建议您在不确定链接或附件时使用隐身窗口。” “此预防措施可以保护您的站点免受此漏洞以及所有其他CSRF漏洞的攻击。”

研究人员补充说,在这种情况下,用户也应该停用并删除Contact Form 7 Style插件,并找到替代产品,因为似乎没有补丁发布。

原文来自: ThreatPost

原文链接: https://threatpost.com/unpatched-wordpress-plugin-code-injection/163706/

欢迎收藏并分享朋友圈,让五邑人网络更安全

未修补的WordPress插件代码注入漏洞影响5万个网站

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):未修补的WordPress插件代码注入漏洞影响5万个网站

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: