攻击者正在利用两个广泛使用的 WordPress 插件中的严重漏洞，以入侵托管站点，影响站点数量众多。 前几天我们才报导过流量排名前一千万网站，三分之一使用 WordPress，这么广泛的采用，一旦其中有安全漏洞被利用，影响会相当广。 被利用的两个插件，其中之一是 Easy WP SMTP，最早由安全公司 NinTechNet 在上周日报导了其被利用进行攻击，数据显示有 300 000 次下载安装；另一个插件是 Social Warfare，已经被安装了 70 000 次，它的利用是由另一家安全公司 Defiant 披露的。 两个插件漏洞都允许攻击者在受攻击的网站上创建恶意管理员帐户。据 Defiant 报导，有两个竞争组织正在实施攻击，其中一个在创建管理员帐户后暂时停止操作，而另一个组织则会进行后续步骤，其会使用虚假帐户更改站点，将访问者重定向到恶意站点。 有趣的是，这两个攻击组织使用了相同的代码用于创建管理员账户，而且这些代码源于最初 NinTechNet 在披露插件漏洞时使用的概念验证代码。不打补丁中招的成本也太低了。 据 arstechnica 的报导，虽然开发人员已经针对这两个被利用的漏洞发布了安全补丁，但是下载数据表明许多易受攻击的网站尚未安装更新，Easy WP SMTP 在过去 7 天内的下载量仅为 135 000次，而 Social Warfare 补丁自周五发布以来，也仅被下载了少于 20 000 次。 安全事大，如果你的网站托管在 WorPress 上，并且使用了这两个插件中的任一一个，那么需要确保已将其更新为：Easy WP SMTP 1.3.9.1 或 Social Warfare 3.5.3。     （稿源：开源中国社区，封面源自网络。）

使用 WordPress 管理其网站的用户，很可能在其中一个插件中，找到近期曝光的那个安全漏洞。一名来自 WebARX 的安全研究人员，刚刚发现了“简易社交分享按钮”（Simple Social Buttons）插件的一个缺陷。该插件旨在方便网站管理员在文章、评论、或网站的其它部分，嵌入 Facebook 或 Twitter 等 SNS 平台的社交分享按钮。 然而最新曝光的漏洞，允许任何能够在上创建新账户的用户，利用它来访问“通常只有管理员才能解除的设置”。换言之，别有用心的攻击者，可以通过该插件来接管网站。 安全研究人员指出，截止目前，WPBrigade 简易社交分享按钮插件的下载量，早已超过 50 万次。WordPress 声称，其已被超过 4 万网站采用。 Simple Social Buttons Exploit PoC by WebARX：https://player.youku.com/embed/XNDA1NzY4NDAwNA== 这意味着平台上搭建的诸多网站，可能已经受到了该漏洞的影响。万幸的是，安全研究人员已于上周向 WordPress 汇报了这个问题，而官方在第二天就已经发布了更新。 当然，为了确保安全，请务必将该插件升级到最新的 2.0.22 版本。   稿源：cnBeta，封面源自网络；

RIPS Technologies 本周指出，WordPress 在权限处理方面的设计漏洞加上 WooCommerce 的文件删除漏洞，将允许黑客扩展权限，控制整个 WordPress 站点并执行远程程序攻击。 WordPress 和 WooCommerce 都是 Automattic 开发的产品。 WordPress 是一个开源内容管理系统（CMS），在 CMS 市场中占有 60％ 的市场份额。WooCommerce，它是一个免费的电子商务插件，全球有超过400万的安装，并有 30％ 的在线商店使用该插件。 RIPS 安全研究员 Simon Scannell 指出，WooCommerce 包含一个文件删除漏洞，允许商店经理（Shop Manager）删除服务器上的任何文件。 此类漏洞顶多是删除站点上的 index.php 文件并导致服务阻塞，但如果碰上 WordPress 权限处理漏洞时，可以使黑客控制整个站点。 WooCommerce 提供三种角色权限，即客户，商店经理和管理员。 商店经理主要负责管理客户，产品和订单。 在 WooCommerce 设置商店经理的角色后，WordPress 为其提供了 edit_users 的功能，并且此角色存储在 WordPress 存储库中，但 edit_users 的默认值可以编辑所有用户数据，包括管理员。 为了防止商店经理更改管理员数据，每当调用 edit_users 时，WooCommerce 就会添加元数据以限制 edit_users 的能力。 它只允许修改客户或产品数据，而不得编辑管理员数据。 但是，黑客或拥有商店经理权限的人可以使用 WooCommerce 的文件删除漏洞直接删除 WooCommerce；当 WooCommerce 关闭时，WordPress 不会删除商店经理的许可，同时 WooCommerce 对该权限所设置的限制也会失效，这时商店经理可以修改管理员数据，获得系统的管理权限，直接接管整个网站，并执行任何程序。   稿源：开源中国，封面源自网络；

英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞，并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库，包括 WordPress 等内容管理系统（CMS），并将允许远程程序攻击。 序列化（Serialization）与反序列化（Deserialization）是所有编程语言都具备的功能，序列化将对象转换为字符串，以将数据迁移到不同服务器，服务或应用程序上，然后通过反序列将字符串还原到对象。 安全研究员 Stefan Essar 在 2009 年就透露了 PHP 中反序列化黑客控制的数据带来的风险，而相关的漏洞不仅存在于 PHP 中，还存在于其他编程语言中。 Thomas 公布的是 PHP 的新攻击技术，可用于各种场景，例如 XML External Entity（XEE）漏洞或服务器端伪造请求（SSFR）漏洞等。 Thomas 表示，过去外界认为 XXE 漏洞带来的最大问题是信息外泄，但现在可出发程序执行。相关攻击分为两个阶段。 首先，将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统，然后触发一个基于 phar:// 的文件操作，就可能导致恶意程序执行。 Thomas 已利用 PHP 的反序列化程序成功攻击了 WordPress 与 Typo3 内容管理平台，以及 Contao 所采用的 TCPDF 库。   稿源：开源中国社区，封面源自网络；

为了攻击WordPress网站，挂上后门插件，黑客想出了一种新的方法，这种新方法需要用到那些弱口令WordPress.com账号和Jetpack插件。整个攻击过程非常复杂，为了攻击网站，黑客需要经历不同步骤，这也意味着用户的防御方法非常之多。 尽管如此，根据WordPress网站安全公司Wordfence的报告以及WordPress.org官方论坛上的一些帖子，有很多用户还是被挂上了后门插件，攻击大都发生在5月16日以后。攻击的第一步包括黑客从公开漏洞中获取用户名和密码，并尝试登录WordPress.com帐户。如果使用了社工库里已经暴露的密码，就可能受到攻击。第二个攻击要素则是Jetpack，这是一款非常普遍的wordpress插件，黑客利用这款插件进一步在网站上安装后门。   稿源：Freebuf，封面源自网络；

据外媒 3 月 16 日报道，在最近一系列利用漏洞插件的攻击之后，SafeBreach 的研究人员探讨了具有第三方可扩展性机制的高级文本编辑器如何被滥用来提升设备权限，并针对 Unix 和 Linux 系统检查了几种流行的可扩展文本编辑器（Sublime、Vim、Emacs、Gedit、pico / nano）。经过研究发现，除 pico / nano 之外，所有受检查的编辑器都受到了一个关键的特权升级漏洞影响，攻击者可以利用这个漏洞在运行易受攻击的文本编辑器的目标设备上运行恶意代码。 据悉，大多数现代文本编辑器允许用户通过使用第三方插件来扩展功能，以此其增大攻击面。 研究人员认为这种情况非常严重，因为第三方插件可能会受到关键的特权升级漏洞影响，波及到类似 WordPress 、Windows 的 Chrome、Firefox 以及 Photoshop 等流行软件的插件。 目前该漏洞被认为与这些文本编辑器加载插件的方式有关，因为它们在加载插件时没有正确分离常规模式和高级模式。 SafeBreach 的研究表明，这些带有第三方插件的文本编辑器是另一种用来获得设备特权提升的方式，并且无论编辑器中是否打开了文件，使用这种方式来获得提升都能成功，即使是在 sudo 命令中运用常用的限制也可能无法阻止。 因此 SafeBreach 提供了的一些缓解措施： ○ 实施 OSEC 监督规则 ○ 拒绝为非提升用户编写权限 ○ 更改文件夹和文件权限模型以确保常规模式和高级模式之间的分离。 ○ 在编辑器升级时阻止加载第三方插件 ○ 提供一个手动界面来批准提升的插件加载 消息来源：Security Affairs.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

来自 Bad Packets Report 的安全研究专家 Troy Mursch 指出，全球范围内将近 5 万家网站悄然被挖矿劫持版本感染。依靠开源搜索引擎 PublicWWW 的扫描，Mursch 发现至少存在 48,953 家受感染网站，其中至少 7368 家网站基于 WordPress。 研究人员表示，将近 4 万家网站都感染了名为 Coinhive 的挖矿劫持脚本，占比达到了 81%。此外他还指出至少 3 万家网站在去年 11 月开始就已经感染 Coinhive。 而其他 19% 网站大多感染了 Coinhive 的同类脚本，例如 Crypto-Loot, CoinImp, Minr 和 deepMiner。根据进一步的调查，在本次扫描结果中有 2057 家网站感染了 Crypto-Loot,有 4119 家网站感染了 CoinImp, 有 692 家网站感染了 Minr 以及有 2160 家网站感染了 deepMiner。 稿源：cnBeta，封面源自网络；

据外媒 12 月 26 日报道，WordPress 团队于 2014 年发现并删除的 14 个 WordPress 恶意插件如今仍然被数百个网站使用。这些恶意插件可能允许攻击者远程执行代码，导致网站信息泄露。目前，WordPress 团队已经提供了应对措施。 WordPress 团队 2014 年初披露 14 个 WordPress 插件存在恶意代码，能够允许攻击者在被劫持的网站上插入 SEO 垃圾邮件链接，从而通过邮件获得该网站的 URL 和其他详细信息。直至 2014 年底，官方才从目录中删除了这些恶意插件。 WordPress 恶意插件死灰复燃 WordPress 团队最近发现官方插件目录被人为更改，导致原本已屏蔽的旧插件页面仍然可见，并且所有插件都包含有恶意代码的页面。这表明在官方删除恶意插件的三年后仍有数百个站点还在使用着它们。 为了保护用户免受恶意插件的侵害，一些专家曾建议 WordPress 团队从官方插件目录中删除恶意插件时提醒网站所有者，但这一想法被 WordPress 团队以“可能致使站点面临更大安全风险”的由否定。这个建议争议的地方在于，它造成了一种道德和法律上的两难境地：删除插件能够保护网站免受黑客攻击，但同时也可能对网站一些功能造成破坏。 目前，为了抵御一些主要的安全威胁，WordPress 开发人员在发现被感染的插件后会将其回滚到最后一个“干净”的版本，并将其作为一个新的更新强制安装在所有受影响插件的站点上。这样既能删除恶意代码、维护网站安全，同时也能保证网站功能不受影。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 10 月 26 日报道，继 JS 挖矿引擎 CoinHive 被黑后， jQuery 的官方博客（blog.jquery.com）于近期遭网名为 “str0ng” 和 “n3tr1x” 的黑客篡改。目前，虽然没有证据表明存放在主机系统文件的服务器已遭黑客入侵，但可以确定黑客通过  jQuery 管理人员 Leah Silber 的账号发布了一篇诋毁官网的文章（如下图）。 调查显示，由于 jQuery 官方博客使用了 WordPress 平台的内容管理系统（CMS），因此黑客还有可能通过 WordPress 已知或零日漏洞获取未经授权访问权限。 jQuery 团队在发现博客官网被黑后立即删除了黑客所发布的帖子。 研究人员表示，由于数百万网站直接由 jQuery 服务器调用脚本，因此该攻击活动可能导致的后果更为糟糕。另外，这已经不是 jQuery 网站第一次受到攻击。据报道，jQuery 主要域名（jQuery.com）曾于 2014 年遭黑客入侵，其网站访问者被重定向至恶意页面。 原文作者：Swati Khandelwal，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，一款名叫 Display Widget 的 WordPress 插件出售后被新拥有者加入后门。Display Widget 原功能是被 WordPress 网站用于控制 Widget 的展示，而目前在被 WordPress.org 团队移除时超过 20 万网站使用。 Stephanie Wells 是插件的最早开发者，她在将精力集中到高级版的插件之后，将开源版本出售。插件的新拥有者在 6 月 21 日释出一个新版本，很快这个新版本被发现会从第三方服务器下载 38MB 的代码并收集网站的用户访问数据。不过，好在用户投诉之后，WordPress.org 将其移除。 据悉，拥有者在设法恢复插件并在释出另一新版本 v2.6.1 后，再次被投诉再次被移除。随后，拥有者又再次设法发布新版本 2.6.2，最后一个版本是 9 月 2 日释出的 2.6.3。 稿源：solidot奇客，封面源自网络；