Accelerated Mobile Pages WordPress 插件安裝量超過(guò) 100,000 次,修復(fù)了一個(gè)中等嚴(yán)重程度的漏洞,該漏洞可能允許攻擊者注入惡意腳本以供網(wǎng)站訪問(wèn)者執(zhí)行。
通過(guò)簡(jiǎn)碼進(jìn)行跨站腳本編寫
跨站點(diǎn)腳本(XSS)是最常見(jiàn)的漏洞之一。在 WordPress 插件的上下文中,當(dāng)插件輸入數(shù)據(jù)的方式無(wú)法通過(guò)驗(yàn)證或清理用戶輸入的過(guò)程充分保護(hù)時(shí),就會(huì)發(fā)生 XSS 漏洞。
清理是阻止不需要的輸入的一種方法。例如,如果插件允許用戶通過(guò)輸入字段添加文本,那么它還應(yīng)該清理輸入到該表單中的任何其他不屬于該表單的內(nèi)容,例如腳本或 zip 文件。
簡(jiǎn)碼是 WordPress 的一項(xiàng)功能,允許用戶在帖子和頁(yè)面中插入類似于此 [example]?的標(biāo)簽。簡(jiǎn)碼嵌入插件提供的功能或內(nèi)容。這允許用戶通過(guò)管理面板配置插件,然后將簡(jiǎn)碼復(fù)制并粘貼到他們希望顯示插件功能的帖子或頁(yè)面中。
“通過(guò)簡(jiǎn)碼進(jìn)行跨站腳本”漏洞是一個(gè)安全漏洞,允許攻擊者利用插件的簡(jiǎn)碼功能將惡意腳本注入網(wǎng)站。
根據(jù) WordPress 安全公司 Patchstack 最近發(fā)布的一份報(bào)告:
“這可能允許惡意行為者將惡意腳本(例如重定向、廣告和其他 HTML 有效負(fù)載)注入您的網(wǎng)站,這些腳本將在訪客訪問(wèn)您的網(wǎng)站時(shí)執(zhí)行。
該漏洞已在1.0.89版本中修復(fù)。”
Wordfence 描述了該漏洞:
“由于輸入凈化和用戶提供的屬性的輸出轉(zhuǎn)義不足,WordPress 的加速移動(dòng)頁(yè)面插件在 1.0.88.1 及之前的所有版本中都容易通過(guò)插件的簡(jiǎn)碼受到存儲(chǔ)跨站點(diǎn)腳本攻擊。”
Wordfence 還澄清說(shuō),這是一個(gè)經(jīng)過(guò)身份驗(yàn)證的漏洞,對(duì)于此特定漏洞,黑客至少需要貢獻(xiàn)者權(quán)限級(jí)別才能利用該漏洞。
此漏洞被 Patchstack 評(píng)為中等嚴(yán)重級(jí)別漏洞,在 1-10 的范圍內(nèi)得分為 6.5(其中 10 為最嚴(yán)重)。
建議用戶檢查其安裝,以便將其修補(bǔ)到至少版本 1.0.89。
請(qǐng)?jiān)诖颂庨喿x Patchstack 報(bào)告:
WordPress 加速移動(dòng)頁(yè)面插件 <= 1.0.88.1 易受跨站腳本 (XSS) 攻擊
請(qǐng)?jiān)诖颂庨喿x Wordfence 公告:
加速移動(dòng)頁(yè)面 <= 1.0.88.1 – 通過(guò)短代碼進(jìn)行身份驗(yàn)證(貢獻(xiàn)者+)存儲(chǔ)的跨站點(diǎn)腳本
