由兩款使用范圍極廣的WordPress插件所導致的一項安全漏洞已經被攻擊者們所利用，而且根據一家計算機安全廠商所報告，這將直接令數(shù)百萬個WordPress站點面臨安全風險。

[[133668]]

這兩款插件分別為JetPack——一款自定義與性能工具——以及Twenty Fifteen——用于實現(xiàn)無限滾動，來自安全廠商Sucuri公司的惡意軟件研究人員David Dede在一篇博文中寫道。WordPress會默認安裝Twenty Fifteen，而這無疑大大增加了站點遭遇攻擊活動的風險。

兩款插件都使用了一套名為genericons的軟件包，其中包含有嵌入字體的矢量圖標。在這套軟件包中，名為“example.html”的文件存在不安全因素，而這直接導致該軟件包極易被攻擊者滲透，Dede在博文中寫道。

此次曝光的安全漏洞藏身于genericons當中且極難被發(fā)現(xiàn)，Dede寫道。這是一項XSS(即跨站點腳本)漏洞，其中惡意有效負載會假借瀏覽器DOM(即文檔對象模型)修改結果的姿態(tài)得以運行。根據W3C的解釋，DOM這一編程API的作用是負責定義HTML與XML文檔如何實現(xiàn)訪問與顯示。

Dede在博文中指出，由此交付的有效負載會直接在瀏覽器內得到執(zhí)行，而不會抵達服務器端。這意味著Web應用程序防火墻對此無能為力——既發(fā)現(xiàn)不了、亦阻止不成。

Dede在文章中表示，Sucuri公司發(fā)現(xiàn)了一種以虛擬紀方式修復該漏洞的辦法，但這項基于DOM的XXS漏洞“極難被阻斷”。

在攻擊活動得手的情況下，受害者會被引導并點擊某條惡意鏈接。

一部分托管廠商及服務項目，例如GoDaddy、DreamHost以及ClickHost，都已經進行過虛擬補丁安裝或者采取其它辦法保護用戶安全，Dede補充稱。

WordPress被廣泛應用于Web領域的內容發(fā)布工作當中，因此其中的安全漏洞往往會帶來嚴重影響。根據WordPress締造廠商的估計，其目前在全部互聯(lián)網站點中的運行比例大概為23%，其中包括《時代》以及美國有線電視新聞網等媒體巨頭。

就在上個月，WordPress剛剛通過補丁修復了兩項與此次狀況類似的嚴重跨站點腳本漏洞。當時曝光的兩項漏洞允許惡意JavaScript代碼進入評論字段并實現(xiàn)運行。