暧昧的WordPress文档导致许多插件和主题开发人员犯了一个错误,将网站暴露给跨站点脚本(XSS)攻击。
这类攻击涉及欺骗站点的用户点击专门制作的网址,在其网站上下文中浏览器中执行流氓JavaScript代码。
影响取决于用户在网站上的角色。例如,如果受害者具有管理权限,攻击者可能触发流氓行政行为。如果受害者是普通用户,攻击者可能会窃取他们的身份验证Cookie并劫持他们的账户。
[更多阅读:如何从Windows PC删除恶意软件]此漏洞源于不安全的使用称为add_query_arg和remove_query_arg的两个WordPress函数并且最近由代码审计公司Scrutinizer的研究人员发现了。
Scrutinizer的研究人员最初在Yoast开发的流行WordPress SEO和Google Analytics插件中发现了这个问题。 Yoast的创始人兼所有者Joost de Valk后来意识到,其他插件中可能存在同样的错误。“我发现Codex和WordPress.org上的这些功能的开发者文档都缺少这样一个事实:你必须逃避他们的输出,“de Valk周一在一篇博客中说。 “实际上,复制时的示例会立即创建可利用的代码。”与WordPress团队成员以及Web安全公司Sucuri的研究人员一起,de Valk开始检查其他流行的插件是否存在相同的缺陷,当然,实例开始堆积如山。根据Sucuri的数据,仅扫描400个插件 - 官方的WordPress存储库超过37,000个 - 显示出十多个易受攻击的插件。主题也受到影响。
迄今发现易受攻击的插件已收到补丁,因此强烈建议WordPress用户检查其管理仪表板是否有可用的插件更新。一些插件已被自动更新,但其他插件已被自动更新。
因为可能有更多易受攻击的插件和主题尚未被识别,建议开发人员检查他们自己的代码以确保不安全地使用add_query_arg和remove_query_arg。
Sucuri的研究人员说:“确保你在使用前逃脱它们。 “我们建议使用esc_url()或esc_url_raw()函数。你不应该假设add_query_arg和remove_query_arg会跳过用户输入。“
这些函数的官方WordPress文档也进行了更新,以更好地反映出逃避用户输入的需要。
根据受影响的插件的作用,他们可能会在前端或后端页面中打开跨站脚本缺陷。这意味着在某些情况下,可以针对普通用户启动XSS攻击,而在其他情况下仅针对管理员。
