WordPress插件所导致的安全漏洞已经被攻击者们所利用

WordPress插件所导致的安全漏洞已经被攻击者们所利用

黑客教程访客2021-10-11 23:44:005142A+A-

由两款使用范围极广的WordPress插件所导致的一项安全漏洞已经被攻击者们所利用,而且根据一家计算机安全厂商所报告,这将直接令数百万个WordPress站点面临安全风险。

这两款插件分别为JetPack——一款自定义与性能工具——以及TwentyFifteen——用于实现无限滚动,来自安全厂商Sucuri公司的恶意软件研究人员DavidDede在一篇博文中写道。WordPress会默认安装TwentyFifteen,而这无疑大大增加了站点遭遇攻击活动的风险。

两款插件都使用了一套名为genericons的软件包,其中包含有嵌入字体的矢量图标。在这套软件包中,名为“example.html”的文件存在不安全因素,而这直接导致该软件包极易被攻击者渗透,Dede在博文中写道。

此次曝光的安全漏洞藏身于genericons当中且极难被发现,Dede写道。这是一项XSS(即跨站点脚本)漏洞,其中恶意有效负载会假借浏览器DOM(即文档对象模型)修改结果的姿态得以运行。根据W3C的解释,DOM这一编程API的作用是负责定义HTML与XML文档如何实现访问与显示。

Dede在博文中指出,由此交付的有效负载会直接在浏览器内得到执行,而不会抵达服务器端。这意味着Web应用程序防火墙对此无能为力——既发现不了、亦阻止不成。

Dede在文章中表示,Sucuri公司发现了一种以虚拟纪方式修复该漏洞的办法,但这项基于DOM的XXS漏洞“极难被阻断”。

在攻击活动得手的情况下,受害者会被引导并点击某条恶意链接。

一部分托管厂商及服务项目,例如GoDaddy、DreamHost以及ClickHost,都已经进行过虚拟补丁安装或者采取其它办法保护用户安全,Dede补充称。

WordPress被广泛应用于Web领域的内容发布工作当中,因此其中的安全漏洞往往会带来严重影响。根据WordPress缔造厂商的估计,其目前在全部互联网站点中的运行比例大概为23%,其中包括《时代》以及美国有线电视新闻网等媒体巨头。

就在上个月,WordPress刚刚通过补丁修复了两项与此次状况类似的严重跨站点脚本漏洞。当时曝光的两项漏洞允许恶意JavaScript代码进入评论字段并实现运行。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 温人青尢2022-05-30 20:41:32
  • 文件存在不安全因素,而这直接导致该软件包极易被攻击者渗透,Dede在博文中写道。此次曝光的安全漏洞藏身于genericons当中且极难被发现,Dede写道。这是一项XSS(即跨站点脚本)漏洞,其中恶意有效负载会假借浏览器DOM(即文档对象模型)修改结果的姿态得以运行。根据W3C的解释,DOM这一编
  • 余安温人2022-05-30 12:44:32
  • icons的软件包,其中包含有嵌入字体的矢量图标。在这套软件包中,名为“example.html”的文件存在不安全因素,而这直接导致该软件包极易被攻击者渗透,Dede在博文中写道。此次曝光的安全漏洞藏身于genericons当中且极难被发现,Ded

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理