專門打造資安外掛程式的Wordfence警告,專供WordPress網站收取捐款的Total Donations外掛程式含有眾多漏洞,當中不乏允許駭客接管網站的重大漏洞,且Total Donations的開發商Calmar Webmedia顯然已不再維護該程式,亦未回應Wordfence的詢問,建議Total Donations用戶直接移除此一外掛程式。

Total Donations為一針對WordPress所設計的捐款外掛程式,支援PayPal、Authorize.net與Stripe等支付平台,經常被與其它捐款程式相提並論,它的原價為28美元,迄今仍有WordPress外掛程式網站以5美元在促銷Total Donations。

而Wordfence則是先在一個WordPress網站的存取紀錄中發現了許多可疑的AJAX活動,追查之下才知道它安裝了Total Donations,進而了解駭客的攻擊流程及所開採的漏洞。

Wordfence威脅分析師Mikey Veenstra說明,Total Donations在WordPress中註冊了88個獨特的AJAX行動,每一個都能被未經授權的使用者存取,當中的49個更可用來存取機密資料、變更網站的內容與配置,甚至是接管整個WordPress網站。

其中,最明顯的漏洞是允許未經授權的使用者存取或變更任何WordPress上的選項,意味著任何人都能註冊一個具備管理權限的帳號,恣意地執行任何惡意行動。

此外,當Total Donations連結支付平台Stripe時,可透過Stripe的Plans API來安排經常性的捐款,然而,可存取這些計畫的各種AJAX功能完全缺乏存取控制。於是,駭客能夠變更這些經常性的捐款計畫,輔以其它漏洞之後還能變更Stripe API金鑰的選項,以將捐款轉移到由駭客掌控的Stripe帳號。

既然已可輕鬆接管WordPress網站,其它的漏洞相對顯得微不足道,但Veenstra還是忍不住揭露Total Donations也允許駭客存取郵件列表以行銷捐款活動,存取私人或尚未發表的捐款報告,展開SQL injection攻擊,或讓WordPress網站成為殭屍網路的尖兵。

Veenstra在今年1月中旬嘗試與開發商Calmar Webmedia聯繫,卻發現官網並未建置完全,且最後一次的維護時間為去年5月,透過官網寄出的郵件也是音訊全無,判斷此一產品已遭到棄守,不必再冀望開發商的修補,也讓Veenstra決定將他的發現公諸於世。

由於Calmar Webmedia在Total Donations中內建了一個備用的AJAX端點,就算是關閉了Total Donations,也能藉由該端點載入WordPress環境,進行註冊與執行任何的AJAX行動,也能被用來呼叫任何功能,因此Veenstra強烈建議Total Donations用戶不要只是關閉該外掛程式的功能,而應整個移除它。


Advertisement

更多 iThome相關內容