专门打造网络安全插件程序的Wordfence警告,专供WordPress网站收取捐款的Total Donations插件程序含有众多漏洞,其中不乏允许黑客接管网站的重大漏洞,且Total Donations的开发商Calmar Webmedia显然已不再维护该程序,也未回应Wordfence的询问,建议Total Donations用户直接移除该插件程序。
Total Donations为一针对WordPress所设计的捐款插件程序,支持PayPal、Authorize.net与Stripe等支付平台,经常被与其它捐款程序相提并论,它的原价为28美元,迄今仍有WordPress插件程序网站以5美元在促销Total Donations。
而Wordfence则是先在一个WordPress网站的访问纪录中发现了许多可疑的AJAX活动,追查之下才知道它安装了Total Donations,进而了解黑客的攻击流程及所开采的漏洞。
Wordfence威胁分析师Mikey Veenstra说明,Total Donations在WordPress中注册了88个独特的AJAX行动,每一个都能被未经授权的用户访问,其中的49个更可用来访问机密数据、变更网站的内容与配置,甚至是接管整个WordPress网站。
其中,最明显的漏洞是允许未经授权的用户访问或变更任何WordPress上的选项,意味着任何人都能注册一个具备管理权限的帐号,恣意地执行任何恶意行动。
此外,当Total Donations链接支付平台Stripe时,可通过Stripe的Plans API来安排经常性的捐款,然而,可访问这些计划的各种AJAX功能完全缺乏访问控制。于是,黑客能够变更这些经常性的捐款计划,辅以其它漏洞之后还能变更Stripe API密钥的选项,以将捐款转移到由黑客掌控的Stripe帐号。
既然已可轻松接管WordPress网站,其它的漏洞相对显得微不足道,但Veenstra还是忍不住披露Total Donations也允许黑客访问邮件列表以营销捐款活动,访问私人或尚未发布的捐款报告,展开SQL injection攻击,或让WordPress网站成为僵尸网络的尖兵。
Veenstra在今年1月中旬尝试与开发商Calmar Webmedia联系,却发现官网并未构建完全,且最后一次的维护时间为去年5月,通过官网发送的邮件也是音频全无,判断该产品已遭到弃守,不必再寄望开发商的修补,也让Veenstra决定将他的发现公诸于世。
由于Calmar Webmedia在Total Donations中内置了一个备用的AJAX端点,就算是关闭了Total Donations,也能借由该端点加载WordPress环境,进行注册与执行任何的AJAX行动,也能被用来调用任何功能,因此Veenstra强烈建议Total Donations用户不要只是关闭该插件程序的功能,而应整个移除它。