首页 > 清静研究 > 清静转达 > 清静通告

WordPress 插件Social Warfare误差清静通告

宣布时间 2019-03-25

误差编号和级别

CVE编号：暂无，，，危险级别：高危，，，CVSS分值：官方未评定

影响规模

受影响产品：

插件Social Warfare v3.5.1和v3.5.2

误差概述

这个存储跨站点剧本（XSS）误差保存于WordPress插件“Social Warfare”中，，，它允许远程未经身份验证的攻击者执行存储在WordPress网站数据库中的JavaScript代码。。。

在确定现在拥有凌驾70,000多个装置的易受攻击的插件在野外被起劲使用之后，，，“Social Warfare”被从WordPress插件存储中删除，，，并在开发团队宣布补丁以修复后再添加回来。。。下图来自WordPress插件存储库的插件“Social Warfare”的下载历史信息显示当天纪录的下载量约莫为19K，，，但仍有相当多的网站仍使用易受攻击的Social Warfare版本。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

您可以在会见日志中查找指向任何PHP文件/ wp-admin /的请求以及以下参数：

swp_debug

swp_url

研究职员在一百多种差别的IP中看到了大宗的误差使用实验。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

攻击者通过加载以下URL https://pastebin.com/raw/0yJzqbYf注入恶意javascript剧本，，，其中包括此恶意负载：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

此剧本将用户重定向到另一个恶意站点。。。

修复建议

建议所有使用“Social Warfare”插件的站点更新至最新版本 v3.5.3：https://wordpress.org/support/topic/malware-into-new-update/#post-11341492。。。

参考链接

https://www.bleepingcomputer.com/news/security/zero-day-wordpress-plugin-vulnerability-used-to-add-malicious-redirects/

https://blog.sucuri.net/2019/03/zero-day-stored-xss-in-social-warfare.html?

utm_source=Twitter&utm_medium=Social&utm_campaign=Blog&utm_term=EN&utm_content=zero-day-stored-xss-in-social-warfare

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究

WordPress 插件Social Warfare误差清静通告

误差编号和级别

影响规模

误差概述

修复建议

参考链接

7*24小时效劳热线