首页 > 安全钻研 > 安全传递 > 安全公告

WordPress 插件Social Warfare缝隙安全公告

颁布功夫 2019-03-25

缝隙编号和级别

CVE编号：暂无，危险级别：高危，CVSS分值：官方未评定

影响领域

受影响产品：

插件Social Warfare v3.5.1和v3.5.2

缝隙概述

这个存储跨站点剧本（XSS）缝隙存在于WordPress插件“Social Warfare”中，它允许远程未经身份验证的攻击者执行存储在WordPress网站数据库中的JavaScript代码。

在确定目前占有超过70,000多个装置的易受攻击的插件在野表被积极利用之后，“Social Warfare”被从WordPress插件存储中删除，并在开发团队颁布补丁以建复后再增长回来。下图来自WordPress插件存储库的插件“Social Warfare”的下载汗青信息显示当天纪录的下载量约莫为19K，但仍有相当多的网站仍使用易受攻击的Social Warfare版本。

GA黄金甲·(中国区)官方网站

您能够在接见日志中查找指向任何PHP文件/ wp-admin /的要求以及以下参数：

swp_debug

swp_url

钻研人员在一百多种分歧的IP中看到了大量的缝隙利用尝试。

GA黄金甲·(中国区)官方网站

攻击者通过加载以下URL https://pastebin.com/raw/0yJzqbYf注入恶意javascript剧本，其中蕴含此恶意负载：

GA黄金甲·(中国区)官方网站

此剧本将用户沉定向到另一个恶意站点。

建复建议

建议所有使用“Social Warfare”插件的站点更新至最新版本 v3.5.3：https://wordpress.org/support/topic/malware-into-new-update/#post-11341492。

参考链接

https://www.bleepingcomputer.com/news/security/zero-day-wordpress-plugin-vulnerability-used-to-add-malicious-redirects/

https://blog.sucuri.net/2019/03/zero-day-stored-xss-in-social-warfare.html?

utm_source=Twitter&utm_medium=Social&utm_campaign=Blog&utm_term=EN&utm_content=zero-day-stored-xss-in-social-warfare

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

软件升级

投资者关系

安全钻研

WordPress 插件Social Warfare缝隙安全公告

缝隙编号和级别

影响领域

缝隙概述

建复建议

参考链接

7*24幼时服务热线