WordPress默认主题存在DOM型XSS漏洞,百万网站受影响

发表于:2015-05-08 09:20:00 来源: 360安全播报 阅读数(0人)

DOM型XSS漏洞

 

Sucuri安全公司的研究人员发现,所有使用genericons图标字体数据包的WordPress插件或主题均受到基于DOM的跨站脚本漏洞,原因是genericons中包含一个不安全的文件example.html。


安全专家解释称在所有易受攻击的插件中,有一个活跃安装量已超过百万次的JetPack插件,以及默认的TwentyFifteen主题。由于受影响网站数量众多,Sucuri将漏洞报告给WordPress官方。


所有利用genericons数据包的插件都容易受到影响,如果它包含正常情况下包含在有漏洞数据包中的example.html文件。


“我们不能忘记最基本的一个安全原则,我们必须在生成过程中维持一种原始环境。这就意味着我们在生成之前要删除调试或测试文件。在本例中,Automattic与WordPress团队举出一个简单的example.html文件,里面内嵌着漏洞。”Sucuri表示。


安全研究人员解释称,为了利用基于DOM的XSS漏洞,恶意攻击者需要诱骗受害者点击一个利用链接。很遗憾,威胁发动者已经在全球范围内利用基于DOM的XSS漏洞。


“这个攻击的有趣点在于,我们是在公开前的几天时间内检测到的。我们收到了相关报告,我们的一些客户也收到报告称它们容易受到攻击,并指向:


http://site.com/wp-content/themes/twentyfifteen/genericons/example.html#1<img/
 src=1 onerror= alert(1)>

在POC中,XSS打印出一个javascript警告,但可在用户浏览器中执行javascript并且控制这个站点,如果用户以管理员身份登录的话。”Sucuri表示。


好消息是修复这个基于DOM的XSS漏洞很容易,只要删除“example.html”或拦截任何文件访问就足够了。


相关新闻

大家都在学

课程详情

恶意代码原理

课程详情

CTF-Reverse系列汇总

课程详情

PE病毒揭秘