Loading
0

WordPress插件 Real-Time Find and Replace 插件存在嚴重的安全漏洞,請及時更新

Real-Time Find and Replace 是一個可以實時查找和替換網站數據的插件,不過還是推薦使用 Better Search Replace 來一次性查找和替換,不必一直啟用插件。

最近Real-Time Find and Replace低于3.9的版本爆了一個非常嚴重的跨站點請求偽造(CSRF)漏洞,攻擊者可以利用插件的功能,用惡意代碼替換目標站點上的任何內容,惡意重定向用戶到任何網址,還可以創建管理員賬號。

該漏洞由 Wordfence威脅分析師Chloe Chamberland發現,根據Chamberland的說法,“當用戶導航到包含原始內容的頁面時,”該JavaScript代碼將自動執行。

例如,攻擊者可能濫用此漏洞,用其惡意代碼替換<head>之類的HTML標記,這將導致被攻擊的WordPress網站上的幾乎所有頁面都轉換為惡意工具,并在成功利用后導致嚴重影響的攻擊。

根據Chamberland的報告,惡意代碼然后可以“被用來注入新的管理用戶帳戶,竊取會話Cookie或將用戶重定向到惡意站點,從而使攻擊者能夠獲得管理訪問權限或感染瀏覽受感染站點的無辜訪客”。

WordPress插件 Real-Time Find and Replace 插件存在嚴重的安全漏洞,請及時更新

為了在網站數據發送到站點訪問者的瀏覽器之前替換內容,“該插件注冊了一個與功能far_options_page綁定的子菜單頁面,并具有對activate_plugins的功能要求,” Chamberland解釋說。

她補充說:“far_options_page函數包含插件功能的核心,用于添加新的查找和替換規則?!?/p>

“不幸的是,該功能未使用隨機數驗證,因此在規則更新期間未驗證請求源的完整性,從而導致跨站點請求偽造漏洞?!?/p>

該漏洞已于4月22日發現并報告,Real-Time Find and Replace的開發人員在首次披露報告后的幾個小時內就發布了補丁版本。

Wordfence使用CVSS評分8.8對該安全漏洞進行了評級,說明它是一個非常高的安全問題,所以,如果你有在使用Real-Time Find and Replace插件,請立即升級到最新的版本:http://wp101.net/plugins/real-time-find-and-replace/