圖片來源: 

wordpress

安全研究人員警告,因舊版Wordpress Simple Social Button外掛程式出現漏洞,有使用這個外掛程式的網站應該儘速更新軟體,避免不肖人士駭入接管網站。

Simple Social Button是由WPBrigade公司開發、廣受歡迎的Wordpress外掛程式,可讓管理員在網站側欄或貼文上下方、相片中加入社群分享按鈕,也提供網站留言及社群帳號登入。根據Wordpress Plugin統計,這個外掛經常安裝用戶超過4萬,WPBrigade則宣稱它的下載數超過57萬。

但WebARX研究人員Luka Šikić 發現,Simple Social Button應用設計流程不當,加上未做許可檢測,導致權限升級漏洞,這使得非管理員用戶得以在Wordpress上註冊新帳號升高權限,執行plugnin功能以外的行為,甚至可修改wp_options表單中的Wordpress安裝選項。只要在這個階段安裝後門或修改管理員相關資訊,攻擊者即可接管Wordpress網站。

Wordpress 管理員如果已禁止用戶註冊帳號或可免於漏洞危害,但如果網站允許針對部落格貼文留言,就可能遭到攻擊。

研究人員發現漏洞後,於2月7日通報WPBrigate公司,WPBrigate隨即在隔日完成修補。該漏洞影響Simple Social Button 2.0.4到2.0.22以前的版本。研究人員呼籲網站管理員需儘速更新。


Advertisement

更多 iThome相關內容