WordPress 近年獲不少網絡與部落格採用,但芬蘭資安機構 Klikki Oy 最近就發現 WordPress 3 含有嚴重安全漏洞,讓黑客可以利用跨站程式碼 (Cross-site scripting,XSS) 奪取網站管理員權限,繼而在網站上設置各種惡意程式。
WordPress 3 網站分秒處於風險之中
芬蘭資安機構 Klikki Oy 研究人員 Jouko Pynnonen 指,當黑客在特定文字欄位 – 多為文章、網頁評論如迴響、回應等區域注入程式碼後,只要目標在後台查閱相關評論時,就會觸發該惡意程式,並直接接管管理員的帳號,從而運用其管理員權限,包括更改管理員帳戶資訊、在伺服器上執行攻擊程式等操作。
基於 WordPress 對部分文字欄位的預設為任何人都可以在未經登入及驗證的情況下留下評論與回應,導致所有採用 WordPress 3 的網站均時刻暴露在風險之中。
據 WordPress 今年 11 月的估計,目前採用 WordPress 3 的使用者約佔 WordPress 整體用戶數量的 85.6%,導致全球可能有達 5,000 萬以上的 WordPress 網站受此漏洞影響,
而 Klikki Oy 亦已完成概念性攻擊程式的開發,並指此漏洞容許黑客在未登入的情況地就可以嵌人惡意程式,更能對伺服器造成一定程度的損害。此漏洞可謂 WordPress 自 2009 年來最嚴重的漏洞。
WordPress 在推出 WordPress 4 後就建議所有沿用舊版 WordPress 的用戶都立即更新。而 Klikki Oy 亦對未能更新或升級至 4.0 或以上版本的 WordPress 用戶提供暫時解決方案:他們建議管理員暫時關閉網站的 Texturize 功能。
Source:Klikki Oy