WordPress捐赠插件漏洞,导致网站遭受零日攻击

0
6585

WordPress GDPR合规插件漏洞后,WordPress有爆出一个新的插件漏洞。据Wordfence报道,在Wordpress插件Total Donations被创建者抛弃了之后,黑客便入侵了它,以进行零日攻击。

研究人员确认,恶意分子能够通过该插件的所有版本中的CVE-2019-6703漏洞来获取受影响网站的管理员访问权限,包括2.0.5版本。

“2017年底,由于缺乏开发人员的支持,CodeCanyon市场禁用了Total Donations插件,因此直到它再次出现,它已经被禁用超过一年的时间了。鉴于该插件中问题的严重性,以及不太可能打补丁,我们建议网站所有者从其网站中完全删除Total Donations。”Wordfence的Mikey Veenstra在一封邮件中写道。

“Wordpress是众多流行平台中十分典型的一个,企业只需控制少部分所依赖的代码。” Virsec首席技术官(CTO)和联合创始人Satya Gupta表示,“在这个堆栈中,确保没有修改或有漏洞的代码几乎是不可能的。尽管注意这些警告并尽可能地禁用或修复有漏洞的代码总是好的,但企业需要能够保护敏感流程的应用防御,即使存在潜在的缺陷。”

据Wordfence表示,在这个特定的案例中,考虑到无法联系到开发人员,打补丁似乎是不可能的。“当前似乎没有任何合法的获取最新版Total Donations的方式。该插件的主页当前显示的是‘页面即将上线’,还有一个新网站的模型图像。该图像的上传路径暗示着,自2018年5月以来该网站就处于了这种状态。”

尽管在某些插件市场仍可以购买Total Donations,但Evanto Market将该插件列为了不再可用。

Gupta表示,一个大型的开发人员开放社区既有优点,也有缺点,而开发人员能够摒弃产品的能力对WordPress和其他工具来说则是一个巨大的问题。开发人员可以创建大量有用的插件来解决特定的问题,“但如果未能实现长期支持的承诺,这些工具中的许多都将变成负担。无论何时你更改了一个插件,都有可能造成出乎意料的破坏和问题。许多企业最终都不得不面对不受支持的工具,直到它们彻底与这些工具脱离关系从而避免了这些头疼的问题。”

我司提供的WordPress主机的工具包目前已经把该插件列为不安全插件,希望大家及时更换组件或者升级改组件。

LEAVE A REPLY

Please enter your comment!
Please enter your name here