WordPress 為時下不少網誌與網站的熱門基礎架構平台之一,而芬蘭資安企業日前就因為屢嘗試就漏洞問題與 WordPress 接觸不果,故將其 XSS 漏洞公開,迫使 WordPress 正視相關問題:而 WordPress 得悉事件後亦隨即推出緊急修補檔。
WordPress 不聞不問令資安人員決定將漏洞公開
揭發此漏洞的芬蘭資安企業 Klikki Oy 的研究人員 Jouko Pynnönen 指包括 WordPress 3.9.3、4.1.1、4.1.2 與最新版的 4.2 均含受此 XSS 漏洞影響,黑客可藉將惡意 JavaScript 注入 WordPress留言板,只要網站管理員檢視相關留言就會觸發到漏洞。
若黑客成汞觸發已登入的網站管理員帳戶,黑客更可透過外掛程式及主題編輯執行任何程式、更改管理員帳戶的密碼、建立新的管理員帳號,甚至掌控所有已登入的管理員權限。
對於為何要將漏洞公開,將成千上萬的 WordPress 用戶置於風險中?Pynnönen 解釋指,由去年 11 月起,WordPress 就拒絕與 Klikki Oy 進行任何安全漏洞上的交流;而 Klikki Oy 曾嘗試以電郵、漏洞獎勵平台 HackerOne 及芬蘭電腦緊急應變中心 (CERT-FI) 希望與 WordPress 取得聯繫,但都毋任何回應,故此選擇直接將是次漏洞公開,令所有基礎架構為 WordPress 的網站都被捲入此 XSS 風險中,從而迫使 WordPress 再無拖延的空間。
Pynnönen 更公布針對上述漏洞的概念性攻擊程式,並於 WordPress 4.2 上進行實際展示。
WordPress 在收到相關消息數小時後就推出 WordPress 4.2.1 以修補此重大漏洞;而 Pynnönen 則建議網站管理員在未更新前可以先暫時關閉留言板功能,直至更新後才重新啟用相關功能。
Source:The Hacker News