由兩款使用范圍極廣的WordPress插件所導(dǎo)致的一項安全漏洞已經(jīng)被攻擊者們所利用，而且根據(jù)一家計算機(jī)安全廠商所報告，這將直接令數(shù)百萬個WordPress站點面臨安全風(fēng)險。

[[133668]]

這兩款插件分別為JetPack——一款自定義與性能工具——以及Twenty Fifteen——用于實現(xiàn)無限滾動，來自安全廠商Sucuri公司的惡意軟件研究人員David Dede在一篇博文中寫道。WordPress會默認(rèn)安裝Twenty Fifteen，而這無疑大大增加了站點遭遇攻擊活動的風(fēng)險。

兩款插件都使用了一套名為genericons的軟件包，其中包含有嵌入字體的矢量圖標(biāo)。在這套軟件包中，名為“example.html”的文件存在不安全因素，而這直接導(dǎo)致該軟件包極易被攻擊者滲透，Dede在博文中寫道。

此次曝光的安全漏洞藏身于genericons當(dāng)中且極難被發(fā)現(xiàn)，Dede寫道。這是一項XSS(即跨站點腳本)漏洞，其中惡意有效負(fù)載會假借瀏覽器DOM(即文檔對象模型)修改結(jié)果的姿態(tài)得以運行。根據(jù)W3C的解釋，DOM這一編程API的作用是負(fù)責(zé)定義HTML與XML文檔如何實現(xiàn)訪問與顯示。

Dede在博文中指出，由此交付的有效負(fù)載會直接在瀏覽器內(nèi)得到執(zhí)行，而不會抵達(dá)服務(wù)器端。這意味著Web應(yīng)用程序防火墻對此無能為力——既發(fā)現(xiàn)不了、亦阻止不成。

Dede在文章中表示，Sucuri公司發(fā)現(xiàn)了一種以虛擬紀(jì)方式修復(fù)該漏洞的辦法，但這項基于DOM的XXS漏洞“極難被阻斷”。

在攻擊活動得手的情況下，受害者會被引導(dǎo)并點擊某條惡意鏈接。

一部分托管廠商及服務(wù)項目，例如GoDaddy、DreamHost以及ClickHost，都已經(jīng)進(jìn)行過虛擬補(bǔ)丁安裝或者采取其它辦法保護(hù)用戶安全，Dede補(bǔ)充稱。

WordPress被廣泛應(yīng)用于Web領(lǐng)域的內(nèi)容發(fā)布工作當(dāng)中，因此其中的安全漏洞往往會帶來嚴(yán)重影響。根據(jù)WordPress締造廠商的估計，其目前在全部互聯(lián)網(wǎng)站點中的運行比例大概為23%，其中包括《時代》以及美國有線電視新聞網(wǎng)等媒體巨頭。

就在上個月，WordPress剛剛通過補(bǔ)丁修復(fù)了兩項與此次狀況類似的嚴(yán)重跨站點腳本漏洞。當(dāng)時曝光的兩項漏洞允許惡意JavaScript代碼進(jìn)入評論字段并實現(xiàn)運行。