WordPress插件错误使黑客可以创建恶意管理员帐户

建议WordPress所有者通过更新实时查找和替换插件来保护其网站，以防止攻击者利用跨站点请求伪造漏洞将恶意代码注入其网站并创建流氓管理员帐户。

该安全漏洞是跨站点请求伪造（CSRF），它导致存储的跨站点脚本（存储的XSS）攻击，并且会影响所有3.9以下的实时查找和替换版本。

单击评论或电子邮件中的恶意链接后，它可能被用来诱骗WordPress管理员向其自己的网站页面注入恶意JavaScript。

该实时查找和替换WordPress插件安装在超过10万的网站，它允许用户暂时代替其在实时网站上的文字和代码的内容，而无需实际进入网站的源代码，并进行永久更改。

欺骗和恶意代码注入

攻击者可以利用插件的功能，用恶意代码替换目标站点上的任何内容，正如Wordfence威胁分析师Chloe Chamberland 今天发布的一份报告中所详述的那样。

根据Chamberland的说法，“当用户导航到包含原始内容的页面时，”该JavaScript代码将自动执行。

例如，攻击者可能滥用此漏洞，用其恶意代码替换<head>之类的HTML标记，这将导致被攻击的WordPress网站上的几乎所有页面都转换为恶意工具，并在成功利用后导致严重影响的攻击。

根据Chamberland的报告，恶意代码然后可以“被用来注入新的管理用户帐户，窃取会话Cookie或将用户重定向到恶意站点，从而使攻击者能够获得管理访问权限或感染浏览受感染站点的无辜访客”。 。

为了在网站数据发送到站点访问者的浏览器之前替换内容，“该插件注册了一个与功能far_options_page绑定的子菜单页面，并具有对activate_plugins的功能要求，” Chamberland解释说。

她补充说：“ far_options_page函数包含插件功能的核心，用于添加新的查找和替换规则。”

“不幸的是，该功能未能使用随机数验证，因此在规则更新期间未验证请求源的完整性，从而导致跨站点请求伪造漏洞。”

在数小时内修补完毕，仍有超过7万个站点易受攻击

该漏洞已于4月22日发现并报告，Real-Time Find and Replace的开发人员在首次披露报告后的几个小时内以完整补丁进行了响应。

Wordfence使用CVSS评分8.8对该安全漏洞进行了评级，这使其成为一个严重性高的问题，这一事实应促使所有用户立即更新到版本4.0.2，该版本完全修补了该漏洞。

不幸的是，尽管开发人员在过去五天内做出了迅速反应，并提供了安全修复程序，但仍有超过2.7万的用户将其实时查找和替换安装更新为4.0.2，这是最后一个无错误的版本。