新的WordPress漏洞允许未经验证的远程攻击者攻击网站

RIPS Technologies GmbH的研究员西蒙·斯坎内尔（Simon Scannell）此前曾报告WordPress中存在多个关键漏洞，他再次发现内容管理软件（CMS）中的一个新漏洞，该漏洞可能会导致远程代码执行攻击。


与之前针对WordPress的大多数攻击不同，这种新的攻击甚至允许“未经验证的远程攻击者”在易受攻击的WordPress网站上破坏并获得远程代码执行。

 

Scannell说：“考虑到评论是博客的核心功能，默认情况下是启用的，该漏洞影响了数百万个网站”。
Scannell演示的漏洞利用依赖于多个问题，包括：

• WordPress在用户发布新评论时不使用CSRF验证，允许攻击者代表管理员发布评论。
• 管理员帐户发布的评论不是净化，可以包含任意HTML标记，甚至脚本标记。
• WordPress前端不受X-Frame-Options标题的保护，允许攻击者在隐藏的iFrame中从攻击者控制的网站打开目标WordPress网站。

通过将所有这些问题结合起来，攻击者只需诱使登录的管理员访问包含攻击代码的恶意网站，就可以将存储的XSS有效负载悄悄地注入目标网站。
据研究人员称，攻击者甚至可以通过注入XSS负载远程完全控制目标WordPress网站，该负载可以直接修改WordPress模板，以包含恶意PHP后门，在管理员没有注意到的情况下，一步到位。

Scannell在去年10月报告了这个漏洞后，WordPress团队试图通过在评论表单中为管理员引入额外的nonce来缓解这个问题，而不是简单地启用CSRF保护。

然而，Scannell也绕过了这一点，之后CMS团队终于在周三发布了WordPress 5.1.1，并提供了一个稳定的补丁。

由于默认情况下WordPress会自动安装安全更新，因此您应该已经在运行最新版本的内容管理软件。

但是，如果CMS的自动更新已关闭，建议您暂时禁用注释并退出管理员会话，直到安装安全补丁。