未修补的WordPress插件代码注入漏洞影响5万个网站

从CRSF到XSS的存储安全漏洞困扰着50,000个Contact Form 7 Style的用户。

Contact Form 7 Style（一个安装在50,000多个站点上的WordPress插件）中的安全漏洞可能允许在受害网站上注入恶意JavaScript。

最新的WordPress插件安全漏洞是一种跨站点请求伪造（CSRF），用于以Contact Form 7样式存储跨站点脚本（XSS）问题，这是著名的Contact Form 7伞形插件的附加组件。在CVSS漏洞严重度等级中，它排名8.8（满分10）。

CSRF允许攻击者诱使受害用户执行他们不打算执行的操作。XSS允许攻击者在受害者用户的浏览器中执行任意JavaScript。此错误将两种方法联系在一起。

Wordfence的研究人员表示，尚无补丁程序，并且3.1.9及以下版本会受到影响。WordPress于2月1日从WordPress插件存储库中删除了该插件。

脆弱的Contact Form 7 Style

顾名思义，Contact Form 7用于创建网站使用的联系表。易受攻击的Contact Form 7 Style是一个加载项，可用于向使用Contact Form 7制作的那些表单添加其他铃声。

通过允许用户自定义网站的级联样式表（CSS）代码来执行此操作，该代码用于指示基于WordPress的网站的外观。据Wordfence研究人员称，这就是漏洞所在。

他们在本周的一篇文章中解释说：“由于缺乏对此功能的清理和随机数保护，攻击者可以使用该插件提出将恶意JavaScript注入网站的请求，”他补充说，并将保留更多详细信息使网站所有者有机会解决此问题。“如果攻击者成功诱骗站点管理员单击链接或附件，则可以发送请求，并且CSS设置将成功更新为包含恶意JavaScript。”

由于该插件的已安装实例数量如此之多，由于受此插件关闭影响的站点数量众多，我们特意提供有关此漏洞的最少详细信息，以便为用户提供充足的时间来查找替代解决方案。我们可能会在以后继续监视情况时提供其他详细信息。

为了利用此漏洞，网络攻击者需要说服已登录的管理员单击恶意链接，这可以通过任何一种常见的社会工程方法（即，通过欺诈性电子邮件或即时消息）来完成。

Wordfence在12月初通知了该插件的开发人员该错误；在未收到任何回应后，研究人员随后于1月初将问题上报给WordPress插件小组。WordPress插件团队也没有与开发人员联系，没有任何回应，导致本周的披露。

如何防止恶意JavaScript注入

因为与所有CSRF漏洞一样，仅当管理员用户在对易受攻击的WordPress网站进行身份验证时执行操作时，才可以利用此漏洞，因此管理员在单击任何链接时应始终保持警惕。

Wordfence表示：“如果您觉得必须单击链接，建议您在不确定链接或附件时使用隐身窗口。” “此预防措施可以保护您的站点免受此漏洞以及所有其他CSRF漏洞的攻击。”

研究人员补充说，在这种情况下，用户也应该停用并删除Contact Form 7 Style插件，并找到替代产品，因为似乎没有补丁发布。

原文来自: ThreatPost