使用“Total Donations”插件的 WordPress 网站,Defiant
建议网站管理员从他们的服务器中删除该插件,防止黑客利用其代码漏洞攻击网站。

Wordfence 安全研究员发布报告称,WordPress 商用插件 Total Donations
受多个 0day 漏洞的影响,且这些漏洞已遭利用。

RIPS Technologies
本周指出,WordPress
在权限处理方面的设计漏洞加上 WooCommerce
的文件删除漏洞,将允许黑客扩展权限,控制整个 WordPress
站点并执行远程程序攻击。

过去一周,来自 Defiant 的安全专家观察到了使用 “Total Donations”
插件会导致网站遭受零日攻击。Defiant 是 专门制作 WordPress
防火墙插件的公司。

这些严重的漏洞影响所有已知的 Total Donations 版本(包括版本 2.0.5
在内),可导致恶意人员获得对受影响 WordPress
站点的管理权限。由于该插件的开发人员尚未做出任何回应,因此建议用户完全删除该插件。

WordPress 和 WooCommerce 都是 Automattic 开发的产品。 WordPress
是一个开源内容管理系统(CMS),在 CMS 市场中占有 60%
的市场份额。WooCommerce,它是一个免费的电子商务插件,全球有超过400万的安装,并有
30% 的在线商店使用该插件。 

此次漏洞覆盖所有版本的 “Total Donations” 插件。“Total
Donations”是一个商业插件,网站管理员一直用来在网站收集和管理网站捐赠,目前已经放弃维护。

Total Donations 是由 Calmar Webmedia
开发的,旨在让在线捐赠接受活动变得更加容易,且让站点所有人能够选择查看进度条并管理任务和活动。

RIPS 安全研究员 Simon Scannell 指出,WooCommerce
包含一个文件删除漏洞,允许商店经理(Shop
Manager)删除服务器上的任何文件。 此类漏洞顶多是删除站点上的 index.php
文件并导致服务阻塞,但如果碰上 WordPress
权限处理漏洞时,可以使黑客控制整个站点。

图片 1

Wordfence 团队发现该插件“在 WordPress 中共注册了88个唯一的 AJAX
操作,每种操作都可遭未验证用户通过查询典型的 /wp-admin/admin-ajax.php
端点访问。”

WooCommerce 提供三种角色权限,即客户,商店经理和管理员。
商店经理主要负责管理客户,产品和订单。 在 WooCommerce
设置商店经理的角色后,WordPress 为其提供了 edit_users
的功能,并且此角色存储在 WordPress 存储库中,但 edit_users
的默认值可以编辑所有用户数据,包括管理员。

据研究人员 Mikey Veenstra
称,该插件的代码包含几个设计缺陷,这些缺陷从整体上将插件和 WordPress
网站暴露在不安全的环境中,在周五发布的一份安全警报中,Veenstra
表示,该插件包含一个 Ajax
代码,任何未经验证的远程攻击者都可以使用该代码操作改插件。

另外,安全研究人员发现,其中49种操作可被用于访问敏感数据、对网站的内容和配置信息做出未授权更改甚至是完全接管网站。

为了防止商店经理更改管理员数据,每当调用 edit_users 时,WooCommerce
就会添加元数据以限制 edit_users 的能力。
它只允许修改客户或产品数据,而不得编辑管理员数据。

Ajax
代码存放在插件的一个文件中,这意味着停用插件并不能消除威胁,因为攻击者只需直接调用该文件,所以只有删除整个插件才能保护站点免受攻击。
该Ajax 代码允许攻击者更改任何 WordPress
站点的核心设置项的数值,更改插件相关的设置,修改通过插件收到的捐款的目标帐户,甚至检索
Mailchp 邮件列表。

Total Donations 可导致非验证用户读取并更新任意 WordPress 选项,且
Wordfence 表示恶意人员已经在利用这个问题。

但是,黑客或拥有商店经理权限的人可以使用 WooCommerce
的文件删除漏洞直接删除 WooCommerce;当 WooCommerce 关闭时,WordPress
不会删除商店经理的许可,同时 WooCommerce
对该权限所设置的限制也会失效,这时商店经理可以修改管理员数据,获得系统的管理权限,直接接管整个网站,并执行任何程序。

“Total Donations”的开发商目前已经停止该插件的开发,该公司在
CodeCanyon所有插件目前已全部停止下载。作为一个商业产品,该插件不会有一个庞大的用户群。但该插件最有可能安装在拥有大量用户群的
WordPress 网站上,这些网站是黑客的主要目标。

研究人员找到了两个函数可被用于读取任意 WordPress
选项的值以及多个函数可被用于修改这些选项的值。这两个函数可通过受影响站点上的管理权限注册新的用户账户。

图片 2

(文/开源中国)    

Total Donations 可连接至 Stripe 作为一种支付处理器并利用 Stripe 的
PlansAPI
来调度重复的捐款。然而,用于交互的函数并不具有访问控制,且可被用于篡改重复捐款。

(文/开源中国)    

攻击者还能够将收到的捐款路由到另外一个 Stripe 账户。

Total Donations
还包括将自身活动和邮件清单集成的功能,但这些功能未能“在返回和联网账户邮件清单相关的数据前执行权限检查。”

该插件还受到其它多种漏洞的影响,可允许对私有的未公布帖子进行未经认证的访问,从而导致
SQL
注入,且允许攻击者将测试邮件发送至任意地址(通过自动化可对出站邮件造成拒绝服务)。

Wordfence 将这些漏洞总称为 CVE-2019-6703。

过去几周来,研究人员都在试图尝试联系该插件的开发人员,但并未收到任何回应。因此,这些漏洞尽管已遭利用但仍然并未遭修复。

Wordfence 团队表示,建议使用 Total Donations
的站点所有人尽快删除而非禁用这个易受攻击的插件以确保站点的安全。

本文转自: