三度网教程:是一个免费提供流行视频软件教程、在线学习分享的学习平台!

WordPress图片插件Fancybox-For-WordPress漏洞导致大局部挂马

时间:2023-4-1作者:未知来源:三度网教程人气:


随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。

WordPress图片插件Fancybox-For-WordPress漏洞导致批量挂马1

Fancybox For WordPress是一款很棒的WordPress图片插件,它可以让你的WordPress图片弹出一个漂亮的浏览界面,展示丰富的弹出层效果。

上周安全研究人员发现部分Worddivss博客遭遇了批量挂马,而这些博客的共同点就是都安装了这款Fancybox插件。研究人员经过分析,找到了这款插件中的漏洞。

漏洞分析

这个漏洞存在于低于3.0.2版本的插件,而漏洞利用的是一个针对wp插件的一个比较常见的攻击途径:未经保护的admin_init钩子。

WordPress图片插件Fancybox-For-WordPress漏洞导致批量挂马2

由于admin_init钩子可以被任何访问/wp-admin/admin-post.php/wp-admin/admin-ajax.php页面的人调用,攻击者就可以将插件中的“mfbfw”选项更改成任何内容。

那这个选项又是干什么的呢?

WordPress图片插件Fancybox-For-WordPress漏洞导致批量挂马3

我们发现很多地方都用到了这个选项。而引起我们注意的是mfbfw_init()函数,这个函数会显示jQuery脚本,使用了我们之前在mfbfw_admin_options()函数中设定的参数。

WordPress图片插件Fancybox-For-WordPress漏洞导致批量挂马4

上图中你可以看到,$settings没有处理就输出了。

因此攻击者如果使用未经保护的admin_init钩子就能够在被攻击网站的所有网页注入恶意javascript攻击负载,比如恶意的iframe。

[参考来源Sucuri,译/Sphinx,转载请注明来自Freebuf黑客与极客]


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

关键词:  WordPress图片插件Fancybox-For-WordPress漏洞导致大局部挂马





Copyright © 2012-2018 三度网教程(http://www.3du8.cn) .All Rights Reserved 网站地图 友情链接

免责声明:本站资源均来自互联网收集 如有侵犯到您利益的地方请及时联系管理删除,敬请见谅!

QQ:1006262270   邮箱:kfyvi376850063@126.com   手机版