WordPress的Facebook Feed插件漏洞暴露了20多万个网站

WordPress的Facebook Feed插件漏洞暴露了20多万个网站插图

WordPress插件Smash Balloon Social Post Feed被发现存在漏洞,使网站暴露在允许攻击者上传恶意脚本的情况下。Jetpack的安全研究人员发现了这个漏洞,并通知了插件的发布者,后者打了补丁并发布了一个固定版本,即4.0.1版。在这之前的版本都有漏洞。

Smash Balloon Social Post Feed

Smash Balloon Social Post Feed WordPress插件将Facebook的内容转变成WordPress网站上的帖子。

该插件的免费版本旨在以一种与Facebook内容重新发布的网站的外观和感觉相匹配的方式显示Facebook帖子。付费的 “专业 “版本还可以重新发布图片、视频和评论。

通过任意设置更新存储的跨站脚本攻击

存储跨站脚本漏洞(Stored XSS)是跨站脚本漏洞的一种形式,它允许恶意攻击者在服务器本身上传并永久存储有害脚本。

非营利性的开放网络应用安全项目(OWASP)描述了存储的XSS漏洞。

“存储式攻击是指注入的脚本被永久地存储在目标服务器上,例如在数据库….。

然后受害者在请求存储的信息时,从服务器上检索恶意脚本”。

特权和非授权检查缺失

Jetpack发布的安全警告宣布,Smash Balloon Social Post Feed WordPress插件有两个安全问题,导致它成为一个安全问题。特权和Nonce检查丢失。

XSS攻击通常发生在有办法向WordPress网站上传或输入东西的地方。它可以是通过一个表格,在评论中,在用户可以输入数据的地方。

一个WordPress插件应该通过执行检查来保护网站,其中包括检查用户的权限级别(订阅者、编辑、管理员)。

如果没有适当的权限检查,最低级别的用户,如订阅者,就能够进行通常需要最高级别访问的行动,如管理员级别的权限。

Nonce是一种一次性使用的安全令牌,旨在保护输入免受攻击。

WordPress Nonce文档解释了nonces的价值。

“如果你的主题允许用户提交数据;不管是在管理员还是在前端;nonce可以用来验证用户是否打算执行某项操作,并在防止跨站请求伪造(CSRF)方面发挥重要作用。

一个例子是允许授权用户上传视频的WordPress网站”。

Jetpack在Smash Balloon插件中发现了一个漏洞,该漏洞未能执行权限和非授权检查,从而使网站受到攻击。

Jetpack描述了该漏洞如何暴露网站。

“负责更新插件内部设置的wp_ajax_cff_save_settings AJAX动作,在做之前没有执行任何权限或nonce检查。这使得任何登录的用户都有可能调用这个动作并更新插件的任何设置。

不幸的是,这些设置之一,customJS,使管理员能够在他们网站的文章和页面上存储自定义的JavaScript。更新这一设置就可以让不良行为者在网站上存储恶意脚本”。

Smash Balloon Social Post Feed WordPress插件的更新日志,记录了每个版本更新所包含的内容,正确地指出了一个安全问题被修复。

不仅有责任及时修复漏洞,Smash Balloon做到了,而且有责任在更新日志中注明,Smash Balloon也做到了。

更新日志中指出。

“修复:改进安全加固。”

Smash Balloon Social Post Feed更新日志屏幕截图

WordPress的Facebook Feed插件漏洞暴露了20多万个网站插图1

建议操作

Smash Balloon Social Post Feed最近打了补丁,修复了允许上传恶意脚本的Stored XSS攻击。

Jetpack建议将Smash Balloon Social Post Feed更新到本文写作时的最新版本,即4.0.1版本。如果不这样做,可能会使WordPress的安装不安全。

 收藏 (0) 更新不易,打赏吧

您可以选择一种方式赞助本站

支付宝扫一扫赞助

微信钱包扫描赞助

除特别注明外,本站所有文章均基于CC-BY-NC-SA 4.0原创,转载请注明出处。
文章名称:《WordPress的Facebook Feed插件漏洞暴露了20多万个网站》
文章链接:https://www.banzhuti.com/smash-balloon-social-post-feed-vulnerability.html
分享到: 生成海报
版权免责声明

① 本站提供的资源(插件或主题)均为网上搜集,如有涉及或侵害到您的版权请立即通知我们。
② 本站所有下载文件,仅用作学习研究使用,请下载后24小时内删除,支持正版,勿用作商业用途。
③ 因代码可变性,不保证兼容所有浏览器、不保证兼容所有版本的WP、不保证兼容您安装的其他插件。
④ 本站保证所提供资源(插件或主题)的完整性,但不含授权许可、帮助文档、XML文件、PSD、后续升级等。
⑤ 由本站提供的资源对您的网站或计算机造成严重后果的本站概不负责。
⑥ 使用该资源(插件或主题)需要用户有一定代码基础知识!另本站提供汉化使用安装教程,仅供参考。
⑦ 有时可能会遇到部分字段无法汉化,同时请保留作者汉化宣传信息,谢谢!
⑧ 本站资源售价只是赞助和汉化辛苦费,收取费用仅维持本站的日常运营所需。
⑨ 如果喜欢本站资源,欢迎捐助本站开通会员享受优惠折扣,谢谢支持!
⑩ 如果网盘地址失效,请在相应资源页面下留言,我们会尽快修复下载地址。

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

WordPress主题 插件 建站 汉化

定制服务联系我们
切换注册

登录

点击按钮进行验证

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活