搬主题
WordPress插件Smash Balloon Social Post Feed被发现存在漏洞,使网站暴露在允许攻击者上传恶意脚本的情况下。Jetpack的安全研究人员发现了这个漏洞,并通知了插件的发布者,后者打了补丁并发布了一个固定版本,即4.0.1版。在这之前的版本都有漏洞。
Smash Balloon Social Post Feed
Smash Balloon Social Post Feed WordPress插件将Facebook的内容转变成WordPress网站上的文章。
该插件的免费版本旨在以一种与Facebook内容重新发布的网站的外观和感觉相匹配的方式显示Facebook文章。付费的 "专业 "版本还可以重新发布图片、视频和评论。
通过任意设置更新存储的跨站脚本攻击
存储跨站脚本漏洞(Stored XSS)是跨站脚本漏洞的一种形式,它允许恶意攻击者在服务器本身上传并永久存储有害脚本。
非营利性的开放网络应用安全项目(OWASP)描述了存储的XSS漏洞。
"存储式攻击是指注入的脚本被永久地存储在目标服务器上,例如在数据库….。
然后受害者在请求存储的信息时,从服务器上检索恶意脚本"。
特权和非授权检查缺失
Jetpack发布的安全警告宣布,Smash Balloon Social Post Feed WordPress插件有两个安全问题,导致它成为一个安全问题。特权和Nonce检查丢失。
XSS攻击通常发生在有办法向WordPress网站上传或输入东西的地方。它可以是通过一个表格,在评论中,在用户可以输入数据的地方。
一个WordPress插件应该通过执行检查来保护网站,其中包括检查用户的权限级别(订阅者、编辑、管理员)。
如果没有适当的权限检查,最低级别的用户,如订阅者,就能够进行通常需要最高级别访问的行动,如管理员级别的权限。
Nonce是一种一次性使用的安全令牌,旨在保护输入免受攻击。
WordPress Nonce文档解释了nonces的价值。
"如果你的主题允许用户提交数据;不管是在管理员还是在前端;nonce可以用来验证用户是否打算执行某项操作,并在防止跨站请求伪造(CSRF)方面发挥重要作用。
一个例子是允许授权用户上传视频的WordPress网站"。
Jetpack在Smash Balloon插件中发现了一个漏洞,该漏洞未能执行权限和非授权检查,从而使网站受到攻击。
Jetpack描述了该漏洞如何暴露网站。
"负责更新插件内部设置的wp_ajax_cff_save_settings AJAX动作,在做之前没有执行任何权限或nonce检查。这使得任何登录的用户都有可能调用这个动作并更新插件的任何设置。
不幸的是,这些设置之一,customJS,使管理员能够在他们网站的文章和页面上存储自定义的JavaScript。更新这一设置就可以让不良行为者在网站上存储恶意脚本"。
Smash Balloon Social Post Feed WordPress插件的更新日志,记录了每个版本更新所包含的内容,正确地指出了一个安全问题被修复。
不仅有责任及时修复漏洞,Smash Balloon做到了,而且有责任在更新日志中注明,Smash Balloon也做到了。
更新日志中指出。
"修复:改进安全加固。"
Smash Balloon Social Post Feed更新日志屏幕截图
建议操作
Smash Balloon Social Post Feed最近打了补丁,修复了允许上传恶意脚本的Stored XSS攻击。
Jetpack建议将Smash Balloon Social Post Feed更新到本文写作时的最新版本,即4.0.1版本。如果不这样做,可能会使WordPress的安装不安全。
评论前必须登录!
立即登录 注册