Word Fence威胁情报小组在Site Origin的插件Page Builder中发现了两个严重程度很高的漏洞,可以被黑客利用来创建新的管理帐户、工厂后门,甚至接管受损的网站。
流行的WordPress插件安装在超过1米的站点上,PageBuilder版本2.10.15和下面的漏洞是一个跨站点请求伪造(CSRF),可能导致反射的跨站点脚本(XSS)攻击。
为了利用这些漏洞,攻击者需要欺骗网站管理员点击精心制作的链接或附件,以便在浏览器中执行恶意代码。
页面生成器插件允许WordPress用户使用WordPress的小部件和SiteOrigin的WidgetsBundle插件的小部件轻松地构建“基于响应列的内容”。 该插件还包括一个内置的实时编辑器,允许用户实时更新内容和拖放小部件。
在发现WordPress插件中的两个严重漏洞后,WordFence联系了网站原产地,开发人员在第二天迅速发布了一个补丁。
在一篇描述漏洞的博客文章中,Word Fence的Chloe Chamberland解释了使用旧版本的插件对网站所有者有多危险,他说:
“这个缺陷可以用来重定向站点的管理员,创建一个新的管理用户帐户,或者,正如最近针对XSS漏洞的攻击活动中所看到的,用于在站点上注入后门。
一个熟练的攻击者甚至可以完全接管受损的WordPress网站后,他们已经创建了流氓管理帐户和种植后门,以保持访问。
在撰写本报告时,Page Builder的100万用户中,仅有25万用户将插件更新为最新版本2.10.16。 如果您的网站使用这个插件,强烈建议您立即更新它,以防止成为任何攻击的受害者,这些攻击利用了PageBuilder2.10.15及以下两个高度严重的漏洞。