高风险 WordPress 插件存在 XSS 漏洞

关键要点

• 三个高危漏洞使得未认证的跨站脚本攻击得以实现，攻击者能通过流行的 WordPress 插件注入恶意脚本。
• 这三个漏洞可能影响近 600 万个 WordPress 安装，安全专家提醒给予重视。
• 漏洞涉及 WPStatistics、WP Meta SEO 和 LiteSpeed Cache 插件，且攻击方式类似，主要是创建新管理员账户、注入后门脚本和设置监控脚本。
• 网站管理员需及时更新插件以防止安全风险。

近日，观察到三个高危漏洞，这些漏洞易受到未认证的跨站脚本（XSS）攻击，攻击者能够通过流行的 WordPress 插件注入恶意脚本。这些漏洞可能影响近 600 万个 ，因此安全专家建议要重视这些问题。

根据一个 ，Fastly的研究人员表示，他们观察到的攻击负载会注入一个指向外部域名上受混淆的 JavaScript文件的脚本标签。研究人员表示，针对每个漏洞的脚本是相同的，主要集中在以下恶意操作上：创建新管理员账户；注入后门以及设置跟踪脚本，显然是为了监控被感染的网站。

第一个漏洞是 ，影响 ，该插件已有超过 600,000次安装。第二个漏洞是 ，影响 插件，该插件有超过 20,000次安装。最后， 则影响了 ，该插件的安装量超过 500 万。

Critical Start 的威胁检测工程师 Adam Neel 表示，这些 WordPress 漏洞使攻击者可以通过 窃取管理员凭证。Neel 进一步指出，WordPress管理员拥有的权限是安全团队绝不希望落入攻击者之手的，例如：删除其他用户、删除页面和查看所有后端内容。

“这对攻击者来说是宝贵的信息与权力，因此网站管理员必须更新受影响的插件。” Neel 说。“确保所有 WordPress 插件更新到最新版本。”

Menlo Security 的首席安全架构师 Lionel Litty 也表示，有一些机制可以缓解这种存储型 XSS漏洞的影响，尤其是内容安全政策（CSP）头。然而，Litty 表示，太少的 Web服务器已部署此项政策，即使有的服务器，其策略通常也过于宽松，难以有效防护。

“这是一个很好的提醒，建议检查你所使用的敏感 Web 应用程序，看它们是否具有足够的安全强化措施。” Litty 提到。“如果没有，向你的供应商询问。”

Critical Start 的 Neel 建议安全专家考虑以下补救措施：