WordPress 4.2新版本刚刚发布不久,一个0day组织宣布在WordPress 4.2,4.1.2,4.1.1,3.9.3等版本中发现存储型跨站脚本漏洞(Stored XSS)。利用这一漏洞,未经允许的攻击者可以在评论中插入JavaScript代码。WordPress用户可以安装Akismet反垃圾评论插件阻止这类攻击;也可以暂时关闭网站的评论功能,等待WordPress团队发布更新补丁。
曝光这一WordPress 4.2 XSS漏洞的黑客组织Klikki,他们还发布了一段视频演示了如何利用这一系统漏洞。
如果(留言中的JavaScript脚本)攻击代码被管理员激活,在WordPress默认设置下,攻击者可以利用插件编辑器或主题编辑器来执行任意代码。
此外,攻击者还可以修改管理员密码,创建新的管理员账户,并且能够执行WordPress管理员所允许的任意操作。
这一种攻击方式,与Cedric报告的另一漏洞很相像,后者已经被WordPress 4.1.2版本修复。在这两个漏洞中,攻击者都是发布超长的评论,超出了MySQL数据库文本类型的长度限制,因此被MySQL截断后存储的在数据库中。
截断的结果,就是是页面中出现变形的HTML。攻击者可以引用HTML允许标签的任意属性,最近两次存储型跨站脚本漏洞影响WordPress核心代码的方式一样。
在这两个例子中,植入的JavaScript脚本无法在WordPress后台内执行,因此这类攻击者通常都会发布一条正常无害的评论,以求得以后的评论可以正常出现在WordPress网站前台中。
WordPress 4.2的升级版本估计很快就会发布。目前,WP没有宣布发布新版本的预期日期,不过在等待的过程中,有几个办法可以帮你来降低网站的风险。
最好的办法是安装Akismet插件,该服务最近修改了配置,来屏蔽这类攻击,或者用来关闭评论功能。
此外,WordPress用户还可以临时禁止评论功能,直到WordPress官方团队发布正式的更新版本。
-
1 32步WordPress网站安全终极检查清单:第28~32步
-
2 32步WordPress网站安全终极检查清单:第18~22步
-
3 32步WordPress网站安全终极检查清单:第13~17步
-
4 32步WordPress网站安全终极检查清单:第6~12步
-
5 32步WordPress网站安全终极检查清单:第1~5步
-
6 32步WordPress网站安全终极检查清单 – 目录
-
7 3个过期插件导致8,000个WordPress网站被入侵
-
8 WordPress计划2017年中将PHP推荐版本从5.6升级到7.0
-
9 2016年,为什么外贸网站应该使用Jetpack插件包?
-
10 25个最受用户喜爱的免费WordPress插件:第21个~第25个
Pingback: WordPress 4.2.1安全更新版本发布,修复XSS漏洞 - WordPress 非官方中文站