WordPress外掛漏洞影響100萬個站點，或可永久刪除幾乎所有資料庫內容

研究人員在Hashthemes Demo Importer 中發現了嚴重的安全漏洞，該外掛已在8,000 多個活動安裝中使用。允許在約一百萬個WordPress站點上進行未經授權的 API 訪問和敏感資訊洩露。根據 Wordfence 的安全研究人員的說法，該漏洞允許任何經過身份驗證的使用者“永久刪除幾乎所有資料庫內容以及所有上傳的媒體。”

該漏洞編號為 CVE-2021-39341，由研究員Chloe Chamberland於2021年9月28日發現，補丁於2021年10月7日釋出。

建議所有使用OptinMonster 外掛的使用者升級到2.6.5或更高版本，因為所有早期版本都會受到影響。

HashThemes Demo Importer外掛旨在讓管理員輕鬆匯入WordPress主題的演示檔案，只需單擊即可，無需處理XML檔案、.json主題選項、.dat定製檔案或.wie小部件檔案等依賴項。

API介面問題

OptinMonster是最流行的WordPress外掛之一，用於建立漂亮的可選表單，幫助站點所有者將訪問者轉化為訂閱者/客戶。

從本質上說，它是一個領先生成器和盈利工具，由於其易用性和豐富的功能，它被部署在大約100萬個網站上。

正如 Chamberland的漏洞披露報告中解釋的那樣 ，OptinMonster的能力依賴於API端點，這些端點允許無縫整合和流線型的設計過程。

然而，這些端點的實現並不總是安全的，最關鍵的例子是' /wp-json/omapp/v1/support '端點。

這個端點可以公開諸如站點在伺服器上的完整路徑、用於站點請求的API金鑰等資料。

持有API金鑰的攻擊者可以對OptinMonster帳戶進行更改，甚至在站點上植入惡意的JavaScript程式碼片段。

每當訪問者在不知情的情況下啟用OptinMonster元素時，該站點就會執行這段程式碼。

更糟糕的是，攻擊者甚至不需要在目標站點上進行身份驗證就可以訪問API端點，因為HTTP請求可以在某些容易滿足的條件下繞過安全檢查。

雖然“/wp-json/omapp/v1/support”端點的情況更糟，但它並不是唯一容易被利用的不安全REST-API端點。

WordPress 外掛的開發人員意識到需要重新訪問整個API。

因此建議使用者在接下來的幾周內安裝任何出現在WordPress儀表板上的OptinMonster更新，因為這些更新可能會解決額外的API缺陷。同時，所有可能被竊取的API金鑰都會立即失效，站點所有者被迫生成新的金鑰。

這個案例表明，即使是被廣泛部署和非常流行的WordPress外掛也可能在很長一段時間內攜帶多個未被發現的缺陷。

外掛擴充套件攻擊面

Digital Shadows首席資訊保安官Rick Holland指出，外掛漏洞凸顯了第三方程式碼帶來的攻擊面增加，瀏覽器擴充套件也是如此。軟體公司應對他們的程式碼和執行在他們程式碼之上的程式碼負責。

BreachQuest 聯合創始人表示，該事件凸顯了漏洞管理的複雜性。“機構不僅需要知道他們正在執行的內容管理系統的安全性，還需要知道在這些系統上執行外掛是否存在安全漏洞。

中科天齊聯合創始人金琨先生曾表示，軟體安全是網路安全的基礎部分。在軟體開發週期過程中，透過安全可信的 靜態程式碼檢測工具不斷檢測並修復由程式碼缺陷帶來的安全漏洞，可以大大提高軟體安全性，降低軟體供應鏈攻擊的風險。隨著數字化時代加速發展，資料安全需要安全可靠的軟體做保障。

參讀連結：

https://www.bleepingcomputer.com/news/security/wordpress-plugin-bug-impacts-1m-sites-allows-malicious-redirects/