在Jetpack Scan团队的一次内部审计中,在流行的WordPress插件WP最快缓存中发现了多个漏洞。

Jetpack报告说,它发现了一个身份验证SQL注入漏洞和一个通过跨站请求伪造(CSRF)问题存储的跨站脚本(XSS)。

WP最快的缓存

WP最快缓存是一个插件,对吸引大量访问者的基于wordpress的网站最有用。为了节省渲染页面所需的RAM和CPU时间,插件创建静态html文件的缓存,这样页面就不需要每次单独访问都进行渲染。

这导致了速度的提高,反过来又提高了访问者体验和网站的SEO排名。WP最快缓存是开源软件,有免费和付费两种版本。

WP最快缓存目前有超过100万个活动安装,根据其WordPress描述页面

认证SQL注入漏洞

这个特殊的漏洞只能在经典编辑器插件同时安装和激活的网站上被利用。经典编辑器是一个由WordPress团队维护的官方插件,可以恢复以前的(“经典”)WordPress编辑器和“编辑文章”屏幕。

SQL注入是一个web安全漏洞,它允许攻击者干扰应用程序对其数据库的查询,并且已经成为数据库驱动的网站的一个常见问题。该漏洞可以允许攻击者访问受影响站点数据库中的特权信息,如用户名和(散列)密码。

XSS存储问题

公开披露的计算机安全漏洞列在常见漏洞和暴露(CVE)数据库中。它的目标是使跨单独的漏洞功能(工具、数据库和服务)共享数据变得更容易。这个被列为cve - 2021 - 24869并得到了一个CVSS满分10分,9.6分。

跨站请求伪造(CSRF),也被称为一键攻击或会话骑乘,是一种利用网站的方式,即web应用程序信任的用户提交未经授权的命令。CSRF攻击迫使终端用户在web应用程序上执行不需要的操作,而他们目前正在该应用程序中进行身份验证。通过一点社会工程的帮助,攻击者可以欺骗web应用程序的用户执行攻击者选择的操作。如果受害者是一个管理帐户,CSRF可以危及整个web应用程序。

跨站脚本(XSS)是一种利用浏览器中的客户端环境的漏洞,允许攻击者将任意代码注入目标的实例和环境。基本上,申请没有按照预期处理收到的信息。攻击者可以利用这种漏洞创建输入,从而向网站注入额外的代码。

在这种情况下,可能是由于在用户权限检查期间缺乏验证。该插件允许潜在的攻击者在目标网站上执行任何想要的操作。因此,对手甚至可以在站点上存储恶意JavaScript代码。在网上商店的情况下,哪一个可能是网络回收船用于检索客户支付信息。

缓解

网站所有者应该下载并安装最新版本的WP最快缓存插件(版本0.9.5),其中这些漏洞已经被修复。Jetpack建议用户尽快更新,因为这两个漏洞如果被利用,会产生很高的技术影响。在编写本文时,仍有65万个实例处于脆弱版本中。

更多关于如何确保CMS安全的一般提示,我们建议阅读我们的文章如何保护您的内容管理系统

保持安全,大家好!