最近在流行的WordPress插件中发现的一个错误可能会使数千个网站面临针对毫无戒心的访问者运行恶意Web脚本的风险该漏洞由Wordfence威胁情报团队发现,位于“WordPress电子邮件模板设计器-WPHTML邮件”中,该插件可简化为在WordPress网站构建器上运行的网站设计自定义电子邮件的过程。
据研究人员称,该漏洞允许未经身份验证的攻击者注入恶意JavaScript,只要站点管理员访问模板编辑器,就会运行该恶意JavaScript。更重要的是,该漏洞允许他们修改电子邮件模板,添加可用于针对电子邮件收件人的网络钓鱼攻击的任意数据。
研究人员联系了该插件的开发人员,并于1月13日发布了一个补丁。Wordfence威胁情报团队敦促所有运行电子邮件模板设计器插件的WordPress管理员立即将其更新到3.1版。
研究人员进一步详细说明了该漏洞,称该插件注册了两个REST-API路由,用于检索和更新电子邮件模板设置。由于这些“实施不安全”,未经身份验证的用户可以访问这些端点。
getThemeSettings函数。REST-API端点确实使用了permission_callback函数,但是,它被设置为__return_true,这意味着执行这些函数不需要身份验证。因此,任何用户都有权执行REST-API端点来保存电子邮件的主题设置或检索电子邮件的主题设置,”研究人员解释说。
研究人员进一步表示,该功能允许对电子邮件模板进行设置更改,这意味着恶意行为者可以“轻松”将其转换为网络钓鱼工具。他们甚至可以将恶意JavaScript添加到模板中。
“与往常一样,跨站点脚本漏洞可用于注入可以添加新管理用户的代码,将受害者重定向到恶意站点,将后门注入主题和插件文件等等,”他们总结道。
所有这一切都意味着恶意攻击者“很有可能”在运行未打补丁的插件版本的网站上获得管理员用户访问权限。
标签:
版权声明:本文由用户上传,如有侵权请联系删除!