WooCommerce曝远程攻击漏洞,超400万WordPress网站受威胁

2018年11月10日11:17:32 发表评论 13 views

结合WooCommerce的文档删除漏洞,取得商城管理插件WooCommerce权限的黑客,再利用WordPress权限管理上的漏洞,可侵入WordPress网站并执行远程攻击。

WooCommerce曝远程攻击漏洞,超400万WordPress网站受威胁

WordPress与WooCommerce都是由Automattic所开发的产品,其中,WordPress为开源的内容管理系统(CMS),在CMS市场的占有率高达6成,至于WooCommerce则是免费的电子商务插件,安装数量超过400万,并号称有30%的网上商城都采用该插件。

RIPS安全研究人员Simon Scannell指出,WooCommerce含有一个文档删除漏洞,允许商城管理员(Shop Manager)移除服务器上的任何数据,这类漏洞通常不会造成太大的危害,顶多是删除网站上的index.php文件造成服务中断。然而,当加上WordPress的权限处理漏洞时,却能让黑客完全掌控整个网站。

WooCommerce提供3种角色权限,分别为客户、商城经理及管理员,其中,商城经理主要负责管理客户、产品及订单,在WooCommerce设定好商城经理的角色之后,WordPress则会赋予它edit_users的权限,并将此角色存放在WordPress的资料库中,但edit_users的预设值能够编辑所有使用者的资料,包括管理员在内。

WooCommerce曝远程攻击漏洞,超400万WordPress网站受威胁

为了避免商城经理越权修改管理员信息,每当调用edit_users时,WooCommerce就会添加元信息以限制edit_users的权限,只允许它修改客户或产品信息,而不能编辑管理员信息。

然而,取得商城经理权限的黑客或有心的人,却可利用WooCommerce的文档删除漏洞,直接删除WooCommerce;当WooCommerce被关闭之后,WordPress并没有移除商城经理的权限,同时WooCommerce对该权限所设定的限制也因此而失效,商城经理即能如入无人之境地修改管理员信息,取得系统的管理权限,直接管控整个网站,进而执行任意程序。

WordPress一直没有修改此权限管理上的设计漏洞,因此它也可能影响其它的插件程序,但因WooCommerce的用户太多,而成为RIPS的研究对象。

RIPS在今年8月通报了WooCommerce漏洞,WooCommerce已于今年10月发布新版补丁。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: