資安業者Imperva指出,他們在WordPress平臺發現資安弱點(研究人員未透露漏洞編號),一旦攻擊者利用特製的XMLRPC酬載,就可能洩露所有不公開文章及草稿的標題。由於全球有超過10億網站使用WordPress架設,因此這樣的問題帶來的影響可能會相當嚴重。他們通報此事,WordPress已完成修補。

WordPress是全球市占最高的內容管理平臺(CMS),有43%網站由WordPress架設而成,在CMS的領域當中,更是占據61.4%,此外,三分之一的電子商務網站是用WordPress及WooCommerce建置而成。如今駭客不僅屢屢鎖定該平臺的外掛程式挖掘漏洞,也不時傳出專門針對WordPress網站的攻擊行動。

針對上述提及的資安弱點,Imperva表示源自於名為XML-RPC的功能,這項功能於2012年12月推出的3.5版WordPress當中,為新建置的網站預設啟用。此功能的主要用途,就是在不同的系統之間提供標準的通訊機制。而更精確地來說,該弱點出現在XML-RPC提供的pingback引用機制,此機制主要是使用者在文章引用其他部落格連結時,WordPress自動對部落格網站進行通知,若是該網站也支援pingback,就會產生類似評論型態的backlink內容。

問題存在於被引用的部落格驗證URL是否存在的過程,若是來源只有提供URL片段,就有可能觸發問題,因為這時部落格會使用正規表示式搜尋資料庫所有的文章內容,同時也包含未公開的內容及草稿。研究人員將這項弱點稱為「神諭(Oracle)」。

熱門新聞

Advertisement