WordPress登入外掛程式嚴重漏洞　曝露使用者帳戶

編譯／Cynthia

近日，一個嚴重的安全漏洞被揭發，對使用WordPress社群登入外掛的網站構成了重大威脅。WordPress外掛程式「miniOrange」的登入註冊套件，被用於數以萬計的網站上，但卻存在一個嚴重的身份驗證繞過漏洞。駭客只需得知使用者的電子郵件地址，就能夠輕鬆登入任何使用者的帳戶，甚至包括網站管理員的帳戶。

這個漏洞的追蹤編號是CVE-2023-2982（CVSS評分：9.8，非常嚴重等級），它影響了這個外掛的所有版本，包括7.6.4及之前的版本。漏洞已於2023年6月14日得到修復，版本7.6.5已經發布。該修復措施的及時推出是至關重要的，因為這個漏洞可能導致嚴重的後果。

Wordfence的研究員István Márton表示，「如果駭客知道或能夠找到相關的電子郵件地址，這個漏洞可能使未經身份驗證的駭客能夠獲得訪問網站上的任何帳戶的權限，包括管理該網站的帳戶。」這種情況發生的原因在於用於登入的社交媒體帳戶的加密金鑰被硬編碼（Hard-coded）將數據或資料直接寫在外掛程式中，因此駭客可以通過正確加密的電子郵件地址創建有效請求，以識別使用者。

如果受影響的帳戶是WordPress網站的管理員帳戶，後果將非常嚴重，駭客可以完全控制網站，破壞網站的內容、竊取敏感資料，甚至進行其他惡意活動，而這個外掛程式被超過3萬多個網站使用，這意味著大量的網站可能面臨威脅。

報導指出，這並不是唯一的WordPress外掛程式存在的安全問題。最近，另一個名為「LearnDash LMS」的外掛程式也被發現存在高嚴重性漏洞。其是一個用於在WordPress建立線上學習課程的工具，並且擁有超過10萬次熱門安裝套件。這個漏洞允許已存在帳戶的用戶重設任意使用者的密碼，這包括具有管理權限的帳戶。這種情況下，駭客可以輕鬆地接管這些帳戶，進而破壞整個學習系統。

除此之外，還有「UpdraftPlus」外掛的另一個安全漏洞，稱為跨站請求偽造（Cross-Site Request Forgery，CSRF）漏洞。這個漏洞允許未經身份驗證的駭客通過欺騙具有管理權限的用戶訪問特製的WordPress網站超連結，來竊取敏感數據並提升訪問權限，這將給駭客提供更多機會進一步入侵網站並造成損害。

在報導中揭露一系列關於使用WordPress外掛程式的嚴重漏洞問題，包含miniOrange的登入註冊外掛使用身份驗證繞道的漏洞，使駭客能夠輕鬆登入任何使用者帳戶。LearnDash LMS和UpdraftPlus等其他外掛被發現存在漏洞，這進一步加劇WordPress生態系統的安全風險。這對於網站管理員和一般使用者都是一個嚴重的問題，可能導致整個網站的被控制和敏感資料的竊取。同時，開發者應該重視安全性，進行定期的程式碼審查和漏洞修補，以確保使用者的數據和網站的安全。使用者能謹慎保護個人資訊，定期檢查帳戶活動，並留意任何異常行為，並持續關注網路安全資訊或學習有關網路攻擊和防範措施的知識，確保個人網路安全和隱私保護。

資料來源：The Hacker News

瀏覽 632 次