研究人员披露了一个影响三个不同 WordPress 插件的安全漏洞,这些插件影响了超过 84,000 个网站,并且可能被恶意行为者滥用以接管易受攻击的网站。
WordPress 安全公司 Wordfence在上周发布的一份报告中说: “这个漏洞使攻击者可以在易受攻击的网站上更新任意网站选项,只要他们可以诱骗网站管理员执行操作,例如点击链接。”
被追踪为 CVE-2022-0215 的跨站请求伪造 ( CSRF ) 缺陷在 CVSS 规模上被评为 8.8,并影响Xootix维护的三个插件-
- 登录/注册弹出窗口(内联表单 Woocommerce),
- Side Cart Woocommerce (Ajax) 和
- 候补名单 Woocommerce(有库存通知)
跨站点请求伪造,也称为一键式攻击或会话骑行,发生在经过身份验证的最终用户被攻击者欺骗提交特制的 Web 请求时。“如果受害者是管理帐户,CSRF 可能会破坏整个 Web 应用程序,”OWASP在其文档中指出。
具体来说,该漏洞源于处理AJAX 请求时缺乏验证,从而有效地使攻击者能够将站点上的“users_can_register”(即任何人都可以注册)选项更新为 true 并设置“default_role”设置(即,在博客上注册的用户的默认角色)管理员,授予完全控制权。
登录/注册弹出窗口已安装在 20,000 多个站点上,而 Side Cart Woocommerce 和 Waitlist Woocommerce 已分别安装在 4,000 多个和 60,000 个站点上。
在 Wordfence 研究人员于 2021 年 11 月负责任地披露后,该问题已在 Login/Signup Popup 2.3 版、Side Cart Woocommerce 2.1 版和Waitlist Woocommerce 2.5.2 版中得到解决。
一个多月后,攻击者利用四个插件和 15 个 Epsilon 框架主题中的弱点来针对 160 万个 WordPress 站点,作为源自 16,000 个 IP 地址的大规模攻击活动的一部分。
“尽管此跨站点请求伪造 (CSRF) 漏洞由于需要管理员交互而不太可能被利用,但它可能对成功利用的站点产生重大影响,因此,它是一个非常重要的提醒您在单击链接或附件时保持警惕,并确保您定期更新插件和主题,”Wordfence 的 Chloe Chamberland 说。.
