攻擊者積極利用ThemeREX Addons中的零日漏洞(安裝在數(shù)千個(gè)站點(diǎn)上的WordPress插件)來(lái)創(chuàng)建具有管理員權(quán)限的用戶帳戶�,并有可能完全接管易受攻擊的網(wǎng)站��。
根據(jù)WordPress網(wǎng)站安全公司W(wǎng)ordfence的估計(jì)���,該公司報(bào)告了針對(duì)ThemeREX Addons零日漏洞的持續(xù)攻擊����,該插件目前至少安裝在44,000個(gè)網(wǎng)站上�����。
WordPress插件背后的公司ThemeRex在其商店中出售了466種商業(yè)WordPress主題和模板��,這些主題和模板還將安裝ThemeREX Addons插件�,以幫助客戶更輕松地配置和管理它們。
該公司在其網(wǎng)站上說(shuō): “超過30,000名客戶使用我們的高級(jí)WordPress主題為他們的網(wǎng)站提供動(dòng)力��,包括一些世界頂級(jí)品牌和企業(yè)�������!
該錯(cuò)誤存在于插件注冊(cè)的WordPress REST-API端點(diǎn)中�����,該端點(diǎn)允許執(zhí)行任何PHP函數(shù)�����,而無(wú)需先檢查是否從具有管理權(quán)限的用戶處收到請(qǐng)求��。
遠(yuǎn)程執(zhí)行代碼和創(chuàng)建管理員帳戶
Wordfence威脅分析師Chloe Chamberland解釋說(shuō): “此漏洞使攻擊者可以在安裝了插件的網(wǎng)站上遠(yuǎn)程執(zhí)行代碼����,包括執(zhí)行可以注入管理用戶帳戶的代碼的能力 �!
“在撰寫本文時(shí),此漏洞正在被積極利用���,因此����,如果您運(yùn)行的版本大于1.6.50,則我們強(qiáng)烈建議用戶暫時(shí)刪除ThemeREX Addons插件����,直到發(fā)布補(bǔ)丁為止�!
根據(jù)WordFence的說(shuō)法,由于正在進(jìn)行的攻擊已經(jīng)在野外加以利用��,因此建議網(wǎng)站所有者和管理員禁用該插件或暫時(shí)將其刪除���,直到發(fā)布糾正該錯(cuò)誤的補(bǔ)丁為止�����。
錢伯蘭德說(shuō):“我們有意在這篇文章中提供了最少的細(xì)節(jié)���,以盡量減少利用,同時(shí)也通知WordPress網(wǎng)站所有者這一積極的活動(dòng)�����!
“目前��,我們敦促運(yùn)行ThemeREX Addons插件的網(wǎng)站所有者立即將其從其網(wǎng)站中刪除����。”
開發(fā)人員尚未修補(bǔ)ThemeTheX Addons插件漏洞�����,并且在公司的支持網(wǎng)站上找不到此零日消息的消息�����。
BleepingComputer向ThemeREX尋求評(píng)論��,但在本出版物發(fā)行時(shí)尚未聽到����。
WordPress插件中的更多關(guān)鍵漏洞
攻擊者正在積極利用在安裝于200,000多個(gè)網(wǎng)站上的適用于WordPress的ThemeGrill Demo Importer插件的 1.3.4至1.6.1版本中發(fā)現(xiàn)的另一個(gè)嚴(yán)重漏洞 �。
在這種情況下,由于開發(fā)人員發(fā)布了具有修復(fù)程序的新版本�,因此活動(dòng)安裝下降到100,000個(gè)站點(diǎn),這表明該站點(diǎn)已從站點(diǎn)中刪除���,而不是為了防御持續(xù)的攻擊而進(jìn)行更新���。
在超過700,000個(gè)網(wǎng)站使用的WordPress GDPR Cookie同意插件中也發(fā)現(xiàn)了嚴(yán)重的錯(cuò)誤���,由于訪問控制不當(dāng),攻擊者可以刪除和更改內(nèi)容����,以及注入惡意的java script代碼。
該漏洞影響1.8.2版及更早版本���,并影響WebToffee插件的開發(fā)人員�,并于2月10日發(fā)布了1.8.3版����。
1月中旬,針對(duì)WordPress Database Reset報(bào)告了另外兩個(gè)漏洞���,這些漏洞允許黑客擦除或接管網(wǎng)站 WordPress Database Reset����,該插件具有80,000多個(gè)安裝�����,旨在為站點(diǎn)管理員提供一種將數(shù)據(jù)庫(kù)重置為默認(rèn)值的簡(jiǎn)單方法����。
自從WordPress數(shù)據(jù)庫(kù)重置3.15以來(lái)����,開發(fā)人員已發(fā)布了包含錯(cuò)誤修復(fù)程序的版本��,所有用戶中只有25%對(duì)其安裝程序進(jìn)行了修補(bǔ)����,而其余用戶仍在運(yùn)行較早且可能存在漏洞的版本����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
