WordPress发现严重零日漏洞!

编者按

日前,广受欢迎的免费CMS平台WordPress紧急发布了一个安全补丁。据研究人员披露,WordPress的电子商务插件WooCommerce的相关组件中的一个重要的SQL注入安全漏洞已标记为零日漏洞,此安全漏洞将给服务器带来巨大的安全隐患。

漏洞详情

WordPress 是一个用PHP编写免费的开源内容管理系统,使用MySQL或 MariaDB数据库。WordPress功能包括内容发布,论坛和其它众多的电子商务插件,被广泛用于个人网站,官网,论坛和电子商务平台构建。WooCommerce是一种流行的开源电子商务平台,适用于在 WordPress上运行的网站,已安装在全球超过 500 万个网站上。它允许在线商家创建具有各种可定制选项的店面,例如接受的付款类型、物流功能、销售税计算等。

受该漏洞影响的相关插件是 WooCommerce Blocks功能,该功能已安装在 200,000 多个站点上。它帮助商家在网页上展示他们的产品。该漏洞(CVE 待定)最初由位于弗吉尼亚州里士满的开发运营安全 (DOS) 的 Josh Ledford 报告,并得到 HackerOne 安全研究员 Thomas DeVoss (dawgyg) 的协调帮助。DeVoss 通过Twitter 表示,他能够汇总一个有效的漏洞概念验证,但他不会在软件厂商发布补丁之前披露该漏洞的详细信息。因此,除了此漏洞存在SQL注入(一种允许网络攻击者干扰应用程序对其数据库的查询的攻击)这一事实之外,其它技术细节很少。

该漏洞促使WooCommerce在上周三晚些时候发布了针对该问题的紧急补丁。该漏洞可能允许未经身份验证的网络攻击者从在线商店的数据库中窃取大量信息——从客户数据和支付卡信息到员工凭证。目前,该漏洞被恶意利用的程度仍然有些不清楚。

WooCommerce 项目主管 Beau Lebens 在一份咨询报告中表示:“我们正在调查此漏洞以及是否存在数据泄露。我们将与网站所有者分享有关如何调查其网站上的此安全漏洞的更多信息……如果一家商店受到影响,则暴露的信息将特定于该网站存储的内容,可能包括订单、客户和管理信息。”

根据 Wordfence 的研究人员的说法,“恶意利用漏洞证据极其有限,而且此类攻击企图很可能具有高度针对性。”一位WooCommerce用户指出,已经观察到异常活动。“就在WooCommerce的公告和电子邮件发布之前几个小时,我管理的网站在有效地锁定管理用户登录的情况下,观察到了各种奇怪的消息以及网络流量的大量激增,”该用户说。“当我通过SSH 进入实时环境时,控制台报告说自我上次登录以来有4次登录尝试失败。不过,目前为止没有发现明显的故意破坏行为,但在系统发现异常行为的情况下存在登录失败IP被禁止的情况。应该不是巧合。”

为了从调查取证上确定网站是否受到影响,Wordfence 研究人员建议对日志文件的审查是否显示以下迹象:

“在您的日志文件中查找对 /wp-json/wc/store/products/collection-data 或 ?rest_route=/wc/store/products/collection-data 存在大量重复请求并包含 %2525 的查询字符串,那么这表明此漏洞可能已在您的站点上被人恶意利用。”

该漏洞影响 WooCommerce 插件的 3.3 至 5.5 版和 WooCommerce Blocks 2.5 至 5.5 插件。Lebens 表示,该公司已经“为每个受影响的版本(90 多个版本)创建了补丁修复程序,并自动部署到易受攻击的商店。”

然而,这种自动部署不是即时的,并且有用户报告说截至上周四下午没有收到更新,因此“我们敦促每个人检查并在需要时手动更新以防万一,”WooCommerce 说。该公告包括一个列出所有 90 个修补版本的表格。

“使用旧版本的站长可以将其分支版本更新到最新,”Wordfence 研究人员建议道。“例如,如果您的网站使用WooCommerce5.3版,您可以更新到 5.3.1 版以最大程度地降低兼容性问题的风险。”

WooCommerce 还建议在更新后重置管理密码以提供额外保护。

开源平台的用户对安全漏洞并不陌生:去年秋天,独立开发商 Flycart(WooCommerce 的折扣规则)为该平台创建的一个非官方插件修补了两个高严重性的跨站点脚本缺陷。

写在后面

该SQL注入漏洞带来的安全威胁非常严重,有使用相关组件的同学赶紧更新补丁吧。

来源:网络安全与网络战

标签: