woo电子商务网站提供的10个wordpress插件存在漏洞,这些插件均由同一家公司multidots为woo网站提供。因开发者尚未发布补丁程序,而woo网站的插件被许多高流量网站使用,所以wordpress禁用了危险插件。以下是危险插件的信息:
- woocommerce category banner management (active installations: 3,000+) – unauthenticated settings change
- add social share messenger buttons whatsapp and viber (active installations: 500+) – cross-site request forgery (csrf)
- advance search for woocommerce (active installations: 200+) – stored cross-site scripting (xss)
- eu cookie notice (active installations: 600+) – cross-site request forgery (csrf)
- mass pages/posts creator (active installations: 1,000+) – authenticated stored cross-site scripting (xss)
- page visit counter (active installations: 10,000+) – sql injection
- woocommerce checkout for digital goods (active installations: 2,000) – cross-site request forgery (csrf)
- woocommerce enhanced ecommerce analytics integration with conversion tracking (active installations: 1,000+) – cross-site request forgery (csrf) and stored cross-site scripting (xss)
- woocommerce product attachment (active installations: 800+) – authenticated stored cross-site scripting (xss)
- woo quick reports (active installations: 300+) – stored cross-site scripting (xss)
据threatpress报道,安全研究员在10个插件中发现的漏洞类型五花八门。受影响的插件可通过wordpress.org获得,它们允许woo商城用户管理其在线商店。据统计,易受攻击的插件有将近20,000次主动安装,其中包括10,000次页面访问计数器安装,3,000次woocommerce类别横幅管理安装以及2,000次数字商品woocommerce checkout安装。
经过安全专家研究后发现,multidots制作的插件受存储的跨站脚本(xss)、跨站点请求伪造(csrf)和sql注入漏洞的影响,这些漏洞可以被用于全方位控制已安装插件的电子商务网站。攻击者可能会破坏网站,执行远程shell,植入键盘记录器,并上传加密货币挖掘程序或其他类型的恶意软件。
考虑到受影响的网站是收集个人和财务信息的在线商店,攻击者或许能够获得富含价值的信息。这些漏洞允许未经身份验证的攻击者注入恶意javascript,从而为劫持客户的信用卡数据并接收客户和管理员登录提供机会。虽然大多数危险情境的实现需要安装插件者访问特质的url或者页面,但仍有一些漏洞带来的缺陷能在没有任何交互的情况下被利用。
multidots 5月8日知晓后对存在的问题进行了确认,而后却再无动作。所幸wordpress了解后决定禁用大部分受影响的插件。在threatpress公开发布调查结果之前,他们曾与multidots联系征求意见,但该公司没有回应。
cve标识符已分配给其中四个漏洞,仍有6个漏洞还没有得到标识符。目前为止,分配的标识符有cve-2018-11579,cve-2018-11580,cve-2018-11633和cve-2018-11632。
当前每个漏洞的技术细节和概念验证(poc)代码已被披露。专家表示:“很高兴wordpress的安全反应速度这么快,但我们仍然有一个大问题——难以告知所有用户这些插件的威胁。奇怪的是wordpress能显示可用更新的信息,却不能通过同样的方式提供关于封闭插件的信息以提供保护。我们希望看到这一领域的一些变化。希望在这种情况下,我们可以通知受影响网站的所有者,并保护近2万个网站。”
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。