近日,360網站安全檢測平臺WebScan發布緊急安全警告:知名博客引擎WordPress多個插件存在SQL注入或跨站腳本執行漏洞,攻擊者藉此可以竊取網站核心數據,甚至利用這些網站實施釣魚掛馬攻擊。經360網站安全檢測對第三方應用識別引擎的分析研究,WordPress佔第三方可識別應用總數的39.5%,大量網站處於危險中。
360網站安全檢測服務網址:https://webscan.360.cn
據了解,WordPress是一種使用PHP語言和MySQL資料庫開發的博客引擎,因簡單易用且擁有豐富強大的插件而用戶眾多。而此次漏洞成因正是WordPress的三個插件出現了問題,波及使用WordPress搭建的網站。
圖1:bbPress存在SQL注入漏洞
經360網站安全檢測平臺分析,包括WordPress母公司Automattic出品的開源論壇程序bbPress、WordPress視頻播放插件HDWebplayer1.1都存在SQL注入漏洞。
圖2:利用工具滲透測試結果
同時,郵件工具SimpleMail plugin for WordPress 1.0.6及其他版本在實現上則存在跨站腳本攻擊漏洞,可被惡意利用執行腳本插入攻擊,查看後會在受影響站點的用戶瀏覽器中執行。其主要原因為電子郵件欄位「To」、「From」、「Date」、「Subject」傳遞輸入沒有正確過濾即用於顯示郵件。
由於上述漏洞影響廣泛,且官方尚未提供漏洞補丁,所以360網站安全檢測平臺在第一時間向旗下用戶發送警告郵件的同時,還推出了臨時解決方案,並建議廣大站長及用戶時刻關注WordPress廠商的主頁以獲取更新版本。
WorPress廠商主頁:
https://wordpress.org/
臨時解決方案:使用360網站安全檢測提供的防注入腳本工具:
https://webscan.360.cn/vul/view/vulid/64
https://webscan.360.cn/vul/view/vulid/87
同時,360網站安全檢測平臺WebScan也第一時間推出了SQL注入、跨站腳本攻擊漏洞的臨時防護工具,可有效攔截相關攻擊行為。