Loginizer,是一款流行的WordPress插件,用于保护WordPress网站不受暴力破解攻击。该插件最近被曝存在严重漏洞。
该漏洞是由漏洞研究人员Slavco Mihajloski发现的。攻击者可利用该漏洞完全入侵WordPress网站。
脆弱版本的Loginizer未能妥当验证和过滤用户名以防止SQL注入和跨站脚本攻击。攻击者可借助特殊构造的用户名尝试登录由Loginizer保护的网站利用该漏洞。
由于有超过一百万个网站正在运行Loginizer插件,相信该插件可保护他们的网站不受攻击,该漏洞带来的威胁非常严重。这也刺激WordPress对运行该插件脆弱版本的第三方网站发起强制更新,即便网站管理员没有请求该插件安装自动更新。
从WordPress 3.7版本以后,WordPress就拥有对第三方站点实施强制更新的能力,但是这是一个很少在行动中看到的功能。
不难理解,该强制更新导致Loginizer插件修复版本的下载量大幅增加。
虽然大多数人会认为,从安全的角度来看,这样的决定是好的,但是,毫无疑问,wordpress.org的技术人员能够在第三方网站上强制安装代码,也让人担心。
毕竟,如果在没有获得网站的知情和允许的情况下,强制在网站上安装一个插件的安全更新,意外地引入一个严重的漏洞或导致不兼容,怎么办呢?
在一个Loginizer支持主题帖中,用户对在没有获得他们许可的情况下自动更新安装该插件提出了疑问,WordPress.org管理员Samuel Wood对此回应道,“WordPress.org能够为插件中的安全问题打开自动更新。自WP 3.7以来,我们已经多次将该功能用于插件的安全发布。”
如果用户的WordPress网站正在运行脆弱版本的Loginizer,建议尽快更新至该插件的1.6.4版本。
该漏洞已经遭到披露,可能有恶意攻击者会利用该漏洞攻击未修复的网站。该漏洞的PoC预定在2020年11月4日公布。到那时,运行Loginizer的所有网站有望运行已修复该漏洞的版本。
本文源自Tripwire