使用技巧

WordPress网站通过Welcart电子商务Bug遭受代码注入攻击

Welcart电子商务插件中的一个安全漏洞打开了网站进行代码注入。研究人员说,这可能导致安装付款收录机,网站崩溃或通过SQL注入获取信息。

Welcart电子商务是拥有20000只多安装一个免费的WordPress插件-它坐落在日本市场占有率名列前茅,根据WordPress的。它允许网站所有者以统包方式在其网站上添加在线购物,并提供销售实物商品,数字商品和订阅的选项,并提供16种不同的付款方式。

据Wordfence称,高严重性漏洞(CVE待定)是一个PHP对象注入漏洞,该漏洞以平台处理cookie的方式存在。

研究人员在周四关于该漏洞的帖子中解释说:“它使用自己的cookie(与WordPress使用的cookie分开)来跟踪用户会话。” “对网站的每次请求都会导致get_cookie函数解析usces_cookie。此函数使用usces_unserialize对该Cookie的内容进行解码。”

仔细观察,研究人员发现可以将带有usces_cookie参数集的请求发送到特制的字符串,该字符串一旦被非序列化,将注入一个PHP对象。

PHP对象注入是一个应用程序级漏洞,为代码注入,SQL注入,路径遍历和应用程序拒绝服务铺平了道路。

根据OSWAP的说法: “当在将用户提供的输入传递给unserialize()PHP函数之前,未对用户提供的输入进行适当的清理时,就会发生此漏洞。” “由于PHP允许对象序列化,所以攻击者可以将临时序列化的字符串传递给易受攻击的unserialize()调用,从而将任意PHP对象注入应用程序范围。”

研究人员补充说,PHP对象注入通常可以在更大的漏洞利用链中使用,从而使攻击者可以利用所谓的魔术方法,这将允许远程执行代码并完成站点接管。幸运的是,事实并非如此。

Wordfence表示:“该插件包括一个tcpdf库,其中包含__destruct魔术方法,该方法可用于在其他情况下创建POP链。” “不存在完整的POP链,因为该插件在加载和定义TCPDF类之前未对cookie进行序列化,因此无法用该类注入对象。”

插件的发行商Collne Inc.在10月发布的Welcart 1.9.36版本中修复了该问题。网站管理员应尽快升级。

插件问题

WordPress插件继续为攻击网络犯罪分子提供方便的途径。

10月,Post Grid中发现了两个高严重性漏洞,Post Grid是一个WordPress插件,安装量超过6万,为站点接管打开了大门。到了9月,Icegram的电子邮件订阅者和新闻通讯插件中的一个高严重漏洞被发现影响 了100,000多个WordPress网站。

8月早些时候,一个旨在向WordPress网站添加测验和调查的插件修复了两个关键漏洞。这些漏洞可能被未经身份验证的远程攻击者利用,以发起各种攻击,包括完全接管易受攻击的网站。 同样在8月,  Newsletter是一个WordPress插件,安装了300,000多个安装,被发现有一对漏洞,可能导致代码执行甚至网站接管。

而且, 研究人员在7月警告 了一个名为Comments – wpDiscuz的WordPress插件中的一个严重漏洞,该插件已安装在70,000多个网站上。该漏洞使未经身份验证的攻击者可以上传任意文件(包括PHP文件),并最终在易受攻击的网站服务器上执行远程代码。