Twenty Fifteen是WordPress在2015年的預設主題

資安業者Sucuri提出警告,凡是使用genericons向量圖示集功能的WordPress外掛程式都可能淪為DOM(Document Object Model)跨站指令碼攻擊(Cross-Site Scripting, XSS)的媒介,現已發現駭客透過JetPack及Twenty Fifteen的相關漏洞展開攻擊。

目前已發現兩個使用genericons的服務成為駭客攻擊媒介,一是宣稱可強化WordPress功能的JetPack外掛程式,估計約有超過100萬的安裝數量。第二個則是WordPress所內建並做為預設的Twenty Fifteen主題,因此至少有數百萬的WordPress網站曝露在XSS攻擊風險中。

genericons為一可被嵌入網路字型(Webfont)的向量圖示集,使用者可以任意更改圖示的尺寸與顏色,但該圖示集中含有一個不安全的example.html檔案,而引發安全風險。DOM則是支援HTML與XML文件的API,可用來定義文件架構,以及文件被存取與呈現的方式。

DOM模式的XSS攻擊意指駭客可於受害者的瀏覽器上更改DOM環境,讓網頁本身看起來並無變動,但其實潛藏在網頁中的客戶端程式已開始執行,這些跨站攻擊的指令碼可直接在瀏覽器上執行而不用傳送到伺服器端,使其更難防範。

Sucuri表示,基於DOM的XSS攻擊並沒那麼容易成功,因為駭客還必須藉由某些社交工程手法來引誘使用者點選惡意連結。不過,若使用者以管理員身份登入網站,成功的攻擊將允許駭客取得網站的掌控權。

值得慶幸的是,該漏洞非常容易修補,開發人員只要移除genericons中無用的example.html檔案就能解決相關危機。

同時,WordPress 4.2.2更新版也已經在今日釋出以修補相關漏洞,由於WordPress有自動更新機制,因此WordPress站長可能已陸續收到完成更新的通知,或者也可以自行手動更新。(編譯/陳曉莉)

熱門新聞

Advertisement