芬蘭信息安全工作人員Klikki Oy發現知名的免費建站平臺 WordPress 3 版本含有重大安全漏洞,攻擊者可以利用跨站指令碼(Cross-sitescripting, XSS)攻擊接管網站管理員的權限,進而在網站上嵌入各種惡意程序。根據 WordPress 今年11月的估計,目前3.x版使用率約占WordPress的 85.6%,因此全球可能超過5000萬個WordPress網站受到該漏洞影響,建議使用者立即更新到最新版的 WordPress 版本。
WordPress 4.0 不受該漏洞影響,并且WordPress4.0.1解決了23個Bug以及八項安全問題。
全球用WordPress搭建的網站粗略估超過 6000 萬,受影響的 3.x 版占了 85.6%,相當于超過 5000 萬個網站。
發現這個漏洞的 Klikki Oy 研究人員 Jouko Pynnonen 表示,該漏洞允許攻擊者在特定的文字欄位中嵌入程序碼,通常是 WordPress 網站上文章或網頁的評論(或回應)區域,WordPress 上的預設值為任何人都可以評論或回應,而且不需登錄或驗證。
攻擊者能夠在回應中嵌入夾雜程序碼的內容,當目標對象透過管理員儀表板讀取該評論時,就會觸發惡意程序以接管管理員的帳號,之后便能運行各種管理員權限,包括更改管理員密碼、建立新的管理員帳號,甚至在服務器上運行攻擊程序。
WordPress是在2010年6月發布WordPress 3.0版本,4.0則于今年的9月發表,顯示該漏洞已存在4年,影響版本號從3.0~3.9.2。不過,此一漏洞并未波及最新的4.0版。
WordPress 官網在發布 WordPress 4.0.1 的說明中表示,這次版本發布屬重大的安全更新,建議所有較舊的 WordPress 版本都立即更新。3.9.2 以及更早之前的WordPress 版本都受到跨站指令碼漏洞所影響,可讓匿名使用者感染網站。該漏洞是由 Jouko Pynnonen所發現。
WordPress 4.0 不受該漏洞影響,并且WordPress4.0.1解決了23個Bug以及八項安全問題。
* 3 個跨站腳本問題
* 一個跨站請求偽造漏洞,可以誘騙用戶修改他的密碼
* 可能導致密碼驗證的時候拒絕服務
* 當 WordPress 發出 HTTP 請求的時候,額外的服務端保護請求偽造攻擊
* 一個完全不像 hash 碰撞的攻擊,可以允許破壞用戶賬戶,當然,這要要求用戶賬戶在 2008 年以后沒有登錄過。
* WordPress 現在的密碼重置郵件中的鏈接,如果用戶記得他們的密碼,登錄,可以修改他們的郵件地址。
WordPress 4.0.1 同時還修復了 23 個 bugs以及兩處重大的改進,包括更好的 EXIF 數據驗證(從上傳圖片提取的)。
此外,Klikki Oy也對于未能更新或升級的 WordPress 用戶提出暫時解決方案,建議網站可以關閉 Texturize功能,同時也發布外掛程序以協助網站關閉該功能。
京公網安備 11010502049343號