安全研究人员警告,因旧版Wordpress Simple Social Button插件程序出现漏洞,有使用这个插件程序的网站应该尽快更新软件,避免不法分子黑入接管网站。
Simple Social Button是由WPBrigade公司开发、广受欢迎的Wordpress插件程序,可让管理员在网站侧栏或贴文上下方、照片中加入社群分享按钮,也提供网站留言及社群帐号登录。根据Wordpress Plugin统计,这个插件经常安装用户超过4万,WPBrigade则宣称它的下载数超过57万。
但WebARX研究人员Luka Šikić 发现,Simple Social Button应用设计流程不当,加上未做许可检测,导致权限升级漏洞,这使得非管理员用户得以在Wordpress上注册新帐号升高权限,执行plugnin功能以外的行为,甚至可修改wp_options表单中的Wordpress安装选项。只要在这个阶段安装后门或修改管理员相关信息,攻击者即可接管Wordpress网站。
WordPress 管理员如果已禁止用户注册帐号或可免于漏洞危害,但如果网站允许针对博客贴文留言,就可能遭到攻击。
研究人员发现漏洞后,于2月7日通报WPBrigate公司,WPBrigate随即在隔日完成修补。该漏洞影响Simple Social Button 2.0.4到2.0.22以前的版本。研究人员呼呼吁网站管理员需尽快更新。