WordPress於周一(4/27)緊急釋出WordPress 4.2.1以修補昨天被揭露的零時差安全漏洞。。WordPress所修補的是一個跨站指令碼攻擊(Cross-site scripting, XSS)漏洞,該漏洞讓駭客得以針對留言功能發動XSS攻擊,挾持網站管理員帳號。

發現此一漏洞的是來自芬蘭Klikki Oy資安公司的Jouko Pynnönen,他說包括WordPress 3.9.3、4.1.1、4.1.2,以及最新的4.2都含有XSS漏洞,駭客可藉由將惡意的JavaScript注入WordPress的留言板,只要檢視該留言就會觸發漏洞攻擊。

倘若觸發的是已登入的該站管理員,那麼駭客就能透過外掛程式及主題編輯執行任意程式,也能變更管理員的密碼,或是建立新的管理員帳號,以及掌控任何已登入的管理員所具備的權限。

Pynnönen還公布了針對該漏洞的概念性攻擊程式,並於WordPress 4.2上實際展示。

Pynnönen說,從去年11月起,WordPress便拒絕與Klikki Oy進行安全漏洞上的交流,Klikki Oy曾嘗試透過電子郵件、漏洞獎勵平台HackerOne及芬蘭電腦緊急應變中心(CERT-FI)聯繫WordPress,但都沒有得到任何的回應。

Pynnönen在接受The Register採訪時表示,這次他們並沒有事先把此一漏洞提交給WordPress。代表在漏洞被揭露的當下,所有基於WordPress的網站都處於XSS的攻擊風險中。

WordPress在收到消息的數小時之後在當天就緊急釋出4.2.1以修補這個重大漏洞。Pynnönen則建議網站管理員在還沒更新之前可以先暫時關閉留言板功能。(編譯/陳曉莉)

熱門新聞

Advertisement