Wordfence 安全研究员发布报告称,WordPress 商用插件 Total Donations 受多个 0day 漏洞的影响,且这些漏洞已遭利用。
这些严重的漏洞影响所有已知的 Total Donations 版本(包括版本 2.0.5 在内),可导致恶意人员获得对受影响 WordPress 站点的管理权限。由于该插件的开发人员尚未做出任何回应,因此建议用户完全删除该插件。
Total Donations 是由 Calmar Webmedia 开发的,旨在让在线捐赠接受活动变得更加容易,且让站点所有人能够选择查看进度条并管理任务和活动。
Wordfence 团队发现该插件“在 WordPress 中共注册了88个唯一的 AJAX 操作,每种操作都可遭未验证用户通过查询典型的 /wp-admin/admin-ajax.php 端点访问。”
另外,安全研究人员发现,其中49种操作可被用于访问敏感数据、对网站的内容和配置信息做出未授权更改甚至是完全接管网站。
Total Donations 可导致非验证用户读取并更新任意 WordPress 选项,且 Wordfence 表示恶意人员已经在利用这个问题。
研究人员找到了两个函数可被用于读取任意 WordPress 选项的值以及多个函数可被用于修改这些选项的值。这两个函数可通过受影响站点上的管理权限注册新的用户账户。
Total Donations 可连接至 Stripe 作为一种支付处理器并利用 Stripe 的 PlansAPI 来调度重复的捐款。然而,用于交互的函数并不具有访问控制,且可被用于篡改重复捐款。
攻击者还能够将收到的捐款路由到另外一个 Stripe 账户。
Total Donations 还包括将自身活动和邮件清单集成的功能,但这些功能未能“在返回和联网账户邮件清单相关的数据前执行权限检查。”
该插件还受到其它多种漏洞的影响,可允许对私有的未公布帖子进行未经认证的访问,从而导致 SQL 注入,且允许攻击者将测试邮件发送至任意地址(通过自动化可对出站邮件造成拒绝服务)。
Wordfence 将这些漏洞总称为 CVE-2019-6703。
过去几周来,研究人员都在试图尝试联系该插件的开发人员,但并未收到任何回应。因此,这些漏洞尽管已遭利用但仍然并未遭修复。
Wordfence 团队表示,建议使用 Total Donations 的站点所有人尽快删除而非禁用这个易受攻击的插件以确保站点的安全。