据安全研究人员警告,因旧版
Wordpress Simple Social Button
插件出现漏洞,使用这个插件的网站应该尽快更新软件,避免攻击者攻击并接管网站。

IT之家2月14日消息 国外安全机构WebARX近日发文警告,因旧版WordPress Simple
Social
Button插件出现漏洞,使用该插件的网站有可能被攻击者接管,他们建议这部分网站尽快升级为最新的版本。

国外安全机构WebARX近日发文警告,因旧版WordPress Simple Social
Button插件出现漏洞,使用该插件的网站有可能被攻击者接管,他们建议这部分网站尽快升级为最新的版本。

Simple Social Button 是由 WPBrigade 公司开发、广受欢迎的 WordPress
插件,可让管理员在网站侧栏或贴文上下方、相片中加入社群分享按钮,也提供网站留言及社群帐号登入。根据
Wordpress Plugin 统计,这个插件经常安装用户超过4万,WPBrigade
则宣称它的下载数超过57万。

据了解,Simple Social
Button插件是由WPBrigade公司开发,是非常受用户欢迎的WordPress插件,这一插件允许管理员在WordPress网站上加入社区分享按钮,同时也可以直接提供网页留言以及社群账号登陆。

国外安全机构WebARX近日发文警告,因旧版WordPress Simple Social
Button插件出现漏洞,使用该插件的网站有可能被攻击者接管,他们建议这部分网站尽快升级为最新的版本。

但 WebARX 研究人员 Luka Šikić 发现,Simple Social Button
应用的设计流程不当,加上未做许可检测,导致权限升级漏洞,这使得非管理员用户得以在
Wordpress 上注册新帐号升高权限,执行 plugnin 功能以外的行为,甚至可修改
wp_options 表单中的 WordPress
安装选项。只要在这个阶段安装后门或修改管理员相关资讯,攻击者即可接管
Wordpress 网站。

根据WordPress
Plugin的统计,该插件安装用户超过4万人,而WPBrigade公司官网上下载量则超过57万次。由于该插件应用的设计流程不当,加上未做许可检测,这导致这款插件旧版本上存在权限升级漏洞。攻击者可以通过这一漏洞将WordPress上新账号权限提升,攻击者甚至可以修改WordPress插件现漏洞,网站可能被攻击者接管。

据了解,Simple Social
Button插件是由WPBrigade公司开发,是非常受用户欢迎的WordPress插件,这一插件允许管理员在WordPress网站上加入社区分享按钮,同时也可以直接提供网页留言以及社群账号登陆。

WordPress
管理员如果已禁止用户注册帐号或可免于漏洞危害,但如果网站允许针对博客文章留言,就可能遭到攻击。

WordPress
管理员如果已禁止用户注册帐号或可免于漏洞危害,但如果网站允许针对博客文章留言,就可能遭到攻击。该漏洞已于2月7日通报
WPBrigate 公司,WPBrigate随即在隔日完成修补。该漏洞影响Simple Social
Button 2.0.4到2.0.22以前的版本。网站管理员需尽速更新。

根据WordPress
Plugin的统计,该插件安装用户超过4万人,而WPBrigade公司官网上下载量则超过57万次。由于该插件应用的设计流程不当,加上未做许可检测,这导致这款插件旧版本上存在权限升级漏洞。攻击者可以通过这一漏洞将WordPress上新账号权限提升,攻击者甚至可以修改WordPress插件现漏洞,网站可能被攻击者接管。

研究人员发现漏洞后,于2月7日通报 WPBrigate 公司,WPBrigate
随即在隔日完成修补。该漏洞影响 Simple Social Button 2.0.4 到2.0.22
以前的版本。研究人员呼吁网站管理员需尽速更新。

WordPress
管理员如果已禁止用户注册帐号或可免于漏洞危害,但如果网站允许针对博客文章留言,就可能遭到攻击。该漏洞已于2月7日通报
WPBrigate 公司,WPBrigate随即在隔日完成修补。该漏洞影响Simple Social
Button 2.0.4到2.0.22以前的版本。网站管理员需尽速更新。

(文/开源中国)    

责任编辑:焦旭