Wordpress兩大插件爆0day漏洞 均在野外被利用 請盡快升級至最新版本
責編:gltian |2019-03-26 14:28:22最近,研究人員在wordpress的兩個常用插件中發現了兩個0day漏洞,這兩個插件分別是?Social Warfare社會化分享插件和Easy WP SMTP插件,兩個插件均被上萬個網站使用,已知兩個0day漏洞均在野外被利用,請受影響的網站盡快升級至最新版本。
Social Warfare社會化分享插件0day漏洞在野外被利用
WordPress Social Warfare插件的易受攻擊版本目前已安裝在70,000多個網站上。?這個?跨站點腳本(XSS)漏洞被主動利用來添加惡意重定向。該漏洞已經通過3.5.3版本的插件得到修復。
研究人員說:
“該漏洞允許攻擊者將惡意JavaScript代碼注入到網站帖子中的社會化分享鏈接。?被攻陷的WordPress網站的訪問者被重定向到惡意網站中(即色情,技術支持詐騙網站等),攻擊者通過cookie跟蹤他們的活動。
WordPress Social Warfare插件的開發團隊證實,攻擊者正在積極利用這個0day漏洞在野外攻擊。?還未更新Social Warfare插件的用戶必須禁用它。?插件庫中該插件的下載歷史記錄顯示,在0day漏洞發布后記錄的下載量約為21,000,也就是說仍有數萬個網站仍在運行存在漏洞的插件版本。
Easy WP SMTP插件有超過300,000個網站安裝
“?Easy WP SMTP?”插件,有超過300,000個網站安裝使用。該插件的主要功能是讓網站所有者配置其站點服務器的外發電子郵件的SMTP設置。
3月15日,NinTechNet?首次發現利用這個零日的攻擊,?并將該問題報告給了插件開發者,該開發者在3月17日星期日修補了零日,發布了v1.3.9.1。?但攻擊仍在進行,黑客試圖在網站所有者應用補丁之前盡可能多地入侵網站。
另外,網絡安全公司Sucuri今年發布的一份報告顯示,90%的黑客內容管理系統(CMSes)都是WordPress網站。
參考鏈接:
https://www.zdnet.com/article/zero-day-in-wordpress-smtp-plugin-abused-by-two-hacker-groups/
https://securityaffairs.co/wordpress/82790/hacking/social-warfare-plugin-zeroday.html?utm_source=dlvr.it&utm_medium=twitter