许多面临风险的 WordPress 网站都存在严重的 WordPress 安全插件漏洞,导致未经授权的管理员访问。在“真正简单的安全”中发现的身份验证绕过缺陷强调了网站所有者需要采取多么紧急的行动。
Very Simple Security 插件的威胁评分为 9.8(满分 10),表明利用此漏洞是多么容易。攻击者将以任何用户(即具有管理权限的用户)的身份登录访问网站。这些缺陷被归类为未经身份验证的访问漏洞,并且特别令人担忧,因为利用该漏洞不需要了解用户的凭据。
WordPress 插件漏洞导致未经授权访问风险飙升
这意味着未经身份验证的攻击者无需用户名和密码即可访问站点上的受限区域。特别是,由于其两因素 REST API 操作中缺乏正确的用户验证错误处理,该插件的 9.0.0 至 9.1.1.1 版本中存在该问题。你猜怎么着——根据 Wordfence 研究人员的说法,无论你是否启用了双因素身份验证,这个漏洞都可能被利用。
在不到 24 小时内,Wordfence 收到通知,称其已阻止针对此特定漏洞的 310 多次攻击。它已经安装在超过 400 万个网站,因此对于那些没有准备好保持插件最新的人来说,存在很高的风险。由于该漏洞是可编写脚本的,因此大规模利用的风险很高,并且潜在恶意活动的快速部署也很高。
在披露此缺陷之前,该缺陷的开发人员提前一周在其 9.1.2 版本中推出了补丁。这个最新版本的变更日志明确提到了身份验证绕过问题的地址。这是第一个官方 WordPress 插件,它与我联合起来,在公开发布 FLAW 之前,向运行易受攻击版本的网站反应性地发送版本升级公告,为主动更新它提供最后的机会。
补丁详细信息和社区的响应
这不是我们第一次听说 WordPress 漏洞;这肯定不会是最后一次。尽管如此,我们可以说,这个安全问题是在 WPLMS 学习管理系统的另一个关键安全问题被发现之后才出现的。需要澄清的是,“真正简单的安全”缺陷适用于免费版和高级版,因此每个人现在都需要检查其网站的安全性。
Wordfence 的分析强调了该漏洞是如何由名为“check_login_and_get_user”的特定函数产生的。这种监督意味着攻击者只需提交特制请求即可登录任何现有用户帐户,包括管理员帐户。专家警告称,该活动可能会造成恶意后果,例如窃取犯罪者的网站以及进一步的恶意行为。
由于这个高度严重的漏洞,我们建议任何使用Really Simple Security插件的人立即或更高版本更新版本9.1.2。防范此类漏洞的方法是将安全插件更新到最新版本。由于安装量高得惊人,不采取行动的后果可能会对成千上万不应用所需更新的网站所有者造成非常严重的后果。
然而,安全专家再次感叹,我们必须采取分层的安全方法。任何网站管理员都应该执行定期备份、强密码和全面的安全扫描,以纠正更新插件之外的情况。
图片来源:Furkan Demirkaya/Ideogram
WordPress 漏洞威胁超过 400 万个网站的帖子首先出现在 TechBriefly 上。
Source: WordPress 漏洞威胁超过 400 万个网站