黑客积极利用广泛使用的WordPress社交分享插件

有问题的易受攻击插件是社会战这是一个广受欢迎且广泛部署的WordPress插件，下载量超过90万次。它用于向WordPress网站或博客添加社交分享按钮。

上月末，WordPress的Social War的维护者发布了他们插件的更新版本3.5.3，以修补两个安全漏洞，存储跨站点脚本（XSS）和远程代码执行（RCE），两者都由一个标识符跟踪，即CVE-2019-9978。

黑客可以利用这些漏洞运行任意PHP代码，在没有身份验证的情况下完全控制网站和服务器，然后使用受损网站执行数字硬币挖掘或托管恶意攻击代码。

然而，就在Social War发布其插件的补丁版本的同一天，一名未具名的安全研究人员发布了一份完整的披露，并对存储的跨站点脚本（XSS）漏洞进行了概念验证。
在完全披露和PoC发布后不久，攻击者开始尝试利用该漏洞，但幸运的是，它仅限于注入的JavaScript重定向活动，研究人员没有发现利用RCE漏洞的野生尝试。

现在，Palo Alto Network Unit 42的研究人员在野外发现了几个利用这些漏洞的漏洞，包括一个利用RCE漏洞的漏洞，该漏洞允许攻击者控制受影响的网站，以及一个利用XSS漏洞将受害者重定向到ads网站。
虽然这两个漏洞都是由于输入处理不当造成的，但使用错误、不足的函数最终使远程攻击者能够在不需要任何身份验证的情况下利用它们。

“这两个漏洞的根本原因都是一样的：WordPress中的is_admin（）函数被滥用，”研究人员在一篇博客文章中说。“Is_admin只检查请求的页面是否属于管理界面，不会阻止任何未经授权的访问”。

在撰写本文时，在42000个活跃网站中，超过37000个WordPress网站，包括教育、金融和新闻网站（一些Alexa排名最高的网站），仍在使用过时的易受攻击版本的社交战插件，这让数亿访问者面临着通过各种其他载体进行黑客攻击的风险。

由于攻击者可能会继续利用这些漏洞攻击目标WordPress用户，因此强烈建议网站管理员尽快将Social War插件更新至3.5.3或更新版本。