WordPress最新版本5.9.2宣布了一项安全更新,以修复两个可能为攻击者提供机会进行全面网站接管的漏洞。在这两个漏洞中,最严重的一个涉及一个存储的跨网站脚本(Stored XSS)漏洞。
WordPress存储的跨网站脚本(XSS)漏洞
WordPress的XSS漏洞是由WordPress安全团队在核心WordPress文件中发现的。存储的XSS漏洞是指攻击者能够直接向WordPress网站上传一个脚本。这类漏洞的位置一般是WordPress网站允许输入的任何地方,如提交帖子或联系表格。
通常情况下,这些输入表单是通过所谓的 “消毒 “来保护的。Sanitization是一个简单的过程,使输入只接受某些类型的输入,如文本,并拒绝(过滤掉)其他类型的输入,如JavaScript文件。
根据Wordfence的说法,受影响的WordPress文件确实进行了消毒处理,以禁止恶意文件的上传。
但是,消毒的顺序设置了一个可以绕过消毒的情况。Wordfence对修复这一漏洞的补丁提供了这样的见解。
“修补后的版本在wp_filter_global_styles_post之前运行wp_filter_post_kses,这样任何潜在的绕过都已经被处理,wp_kses可以有效地对其进行消毒。”
攻击者之所以能够上传脚本,往往是因为文件的编码方式存在错误。当一个具有管理员权限的网站用户访问被攻击的网站时,上传的恶意JavaScript文件就会执行,并可以凭借该用户的管理员级别的权限做一些事情,如接管网站,创建一个新的管理员级别的账户和安装后门。
后门是一个文件/代码,允许黑客随意访问WordPress网站的后台,具有完全的权限。
原型污染漏洞
在WordPress中发现的第二个问题被称为原型污染漏洞。这种漏洞是针对网站的JavaScript(或JavaScript库)的一个缺陷。这第二个问题实际上是两个问题,都是原型污染漏洞。
一个是在Gutenberg wordpress/url包中发现的原型污染漏洞。 这是WordPress中的一个模块,允许WordPress网站操纵URL。
例如,这个Gutenberg wordpress/url包为查询字符串提供了各种功能,并对URL slug进行清理,以完成将大写字母转换成小写字母等工作。
第二个是jQuery中的Prototype Pollution漏洞。这个漏洞在jQuery 2.2.3中被修复。
Wordfence表示,他们不知道有任何利用这一漏洞的情况,并表示利用这一特定漏洞的复杂性使得它不太可能成为一个问题。
Wordfence的漏洞分析得出结论:
“攻击者成功地在受害者的浏览器中执行JavaScript,有可能接管一个网站,但实际攻击的复杂性很高,很可能需要安装一个单独的易受攻击的组件。”
WordPress存储的XSS漏洞有多严重?
这个特殊的漏洞需要有贡献者级别的用户才能有必要的权限级别来上传恶意的脚本。
因此,需要一个额外的步骤,即首先要获得一个贡献者级别的登录凭证,以便进行下一步的利用存储XSS漏洞。虽然额外的步骤可以使漏洞更难被利用,但在相对安全和全面接管网站之间的所有障碍是贡献者密码的强度和复杂性。
更新到WordPress 5.9.2
最新版本的WordPress,5.9.2,修复了两个与安全有关的问题,并解决和修补了一个可能导致使用Twenty Twenty Two主题的网站出现错误信息的bug。
一个WordPress跟踪票据这样解释这个错误:
“激活了一个旧的默认主题,然后点击预览Twenty Two,就会出现一个灰色背景的错误屏幕,上面有一个白色的通知框,说 “你目前使用的主题与全站编辑不兼容。”
WordPress官方公告建议所有发布者将他们的安装更新到WordPress 5.9.2版本。一些网站可能已经启用了自动更新功能,而且这些网站目前是受保护的。
但并不是所有的网站都是这样,因为许多网站需要有管理员级别的人批准更新,并将其启动。因此,谨慎的做法可能是登录你的网站,检查确认它目前是否在使用5.9.2版本。
如果网站没有使用5.9.2版本,那么接下来要考虑的步骤是备份网站本身,然后更新到最新版本。这就是说,有些人会增加一个额外的安全层,首先在一个暂存服务器上更新网站的副本,并审查更新的测试版本,以确保与当前安装的插件和主题没有冲突。
通常,在WordPress的重要更新之后,插件和主题可能会发布更新,以修复问题。尽管如此,WordPress建议尽快更新。
暂无评论内容