由兩款使用范圍極廣的WordPress插件所導(dǎo)致的一項(xiàng)安全漏洞已經(jīng)被攻擊者們所利用，而且根據(jù)一家計(jì)算機(jī)安全廠商所報(bào)告，這將直接令數(shù)百萬個(gè)WordPress站點(diǎn)面臨安全風(fēng)險(xiǎn)。

[[133668]]

這兩款插件分別為JetPack——一款自定義與性能工具——以及Twenty Fifteen——用于實(shí)現(xiàn)無限滾動(dòng)，來自安全廠商Sucuri公司的惡意軟件研究人員David Dede在一篇博文中寫道。WordPress會(huì)默認(rèn)安裝Twenty Fifteen，而這無疑大大增加了站點(diǎn)遭遇攻擊活動(dòng)的風(fēng)險(xiǎn)。

兩款插件都使用了一套名為genericons的軟件包，其中包含有嵌入字體的矢量圖標(biāo)。在這套軟件包中，名為“example.html”的文件存在不安全因素，而這直接導(dǎo)致該軟件包極易被攻擊者滲透，Dede在博文中寫道。

此次曝光的安全漏洞藏身于genericons當(dāng)中且極難被發(fā)現(xiàn)，Dede寫道。這是一項(xiàng)XSS(即跨站點(diǎn)腳本)漏洞，其中惡意有效負(fù)載會(huì)假借瀏覽器DOM(即文檔對(duì)象模型)修改結(jié)果的姿態(tài)得以運(yùn)行。根據(jù)W3C的解釋，DOM這一編程API的作用是負(fù)責(zé)定義HTML與XML文檔如何實(shí)現(xiàn)訪問與顯示。

Dede在博文中指出，由此交付的有效負(fù)載會(huì)直接在瀏覽器內(nèi)得到執(zhí)行，而不會(huì)抵達(dá)服務(wù)器端。這意味著Web應(yīng)用程序防火墻對(duì)此無能為力——既發(fā)現(xiàn)不了、亦阻止不成。

Dede在文章中表示，Sucuri公司發(fā)現(xiàn)了一種以虛擬紀(jì)方式修復(fù)該漏洞的辦法，但這項(xiàng)基于DOM的XXS漏洞“極難被阻斷”。

在攻擊活動(dòng)得手的情況下，受害者會(huì)被引導(dǎo)并點(diǎn)擊某條惡意鏈接。

一部分托管廠商及服務(wù)項(xiàng)目，例如GoDaddy、DreamHost以及ClickHost，都已經(jīng)進(jìn)行過虛擬補(bǔ)丁安裝或者采取其它辦法保護(hù)用戶安全，Dede補(bǔ)充稱。

WordPress被廣泛應(yīng)用于Web領(lǐng)域的內(nèi)容發(fā)布工作當(dāng)中，因此其中的安全漏洞往往會(huì)帶來嚴(yán)重影響。根據(jù)WordPress締造廠商的估計(jì)，其目前在全部互聯(lián)網(wǎng)站點(diǎn)中的運(yùn)行比例大概為23%，其中包括《時(shí)代》以及美國(guó)有線電視新聞網(wǎng)等媒體巨頭。

就在上個(gè)月，WordPress剛剛通過補(bǔ)丁修復(fù)了兩項(xiàng)與此次狀況類似的嚴(yán)重跨站點(diǎn)腳本漏洞。當(dāng)時(shí)曝光的兩項(xiàng)漏洞允許惡意JavaScript代碼進(jìn)入評(píng)論字段并實(shí)現(xiàn)運(yùn)行。