首頁 > 安全研究 > 安全通報 > 安全通告

WordPress 插件Social Warfare漏洞安全通告

發布時間 2019-03-25

漏洞編號和級別


CVE編號:暫無,危險級別:高危,CVSS分值:官方未評定


影響范圍


受影響產品:

插件Social Warfare v3.5.1v3.5.2


漏洞概述


這個存儲跨站點腳本(XSS)漏洞存在于WordPress插件“Social Warfare”中,它允許遠程未經身份驗證的攻擊者執行存儲在WordPress網站數據庫中的JavaScript代碼。


在確定目前擁有超過70,000多個安裝的易受攻擊的插件在野外被積極利用之后,“Social Warfare”被從WordPress插件存儲中刪除,并在開發團隊發布補丁以修復后再添加回來。下圖來自WordPress插件存儲庫的插件“Social Warfare”的下載歷史信息顯示當天記錄的下載量大約為19K,但仍有相當多的網站仍使用易受攻擊的Social Warfare版本。




您可以在訪問日志中查找指向任何PHP文件/ wp-admin /的請求以及以下參數:

swp_debug

swp_url

研究人員在一百多種不同的IP中看到了大量的漏洞利用嘗試。




攻擊者通過加載以下URL https://pastebin.com/raw/0yJzqbYf注入惡意javascript腳本,其中包含此惡意負載:




此腳本將用戶重定向到另一個惡意站點。


修復建議


建議所有使用“Social Warfare”插件的站點更新至最新版本 v3.5.3https://wordpress.org/support/topic/malware-into-new-update/#post-11341492。


參考鏈接


https://www.bleepingcomputer.com/news/security/zero-day-wordpress-plugin-vulnerability-used-to-add-malicious-redirects/


https://blog.sucuri.net/2019/03/zero-day-stored-xss-in-social-warfare.html?


utm_source=Twitter&utm_medium=Social&utm_campaign=Blog&utm_term=EN&utm_content=zero-day-stored-xss-in-social-warfare

上一篇 下一篇