外媒：两款WordPress插件曝出安全漏洞

由两款使用范围极广的WordPress插件所导致的一项安全漏洞已经被攻击者们所利用，而且根据一家计算机安全厂商所报告，这将直接令数百万个WordPress站点面临安全风险。

这两款插件分别为JetPack——一款自定义与性能工具——以及Twenty Fifteen——用于实现无限滚动，来自安全厂商Sucuri公司的恶意软件研究人员David Dede在一篇博文中写道。WordPress会默认安装Twenty Fifteen，而这无疑大大增加了站点遭遇攻击活动的风险。

两款插件都使用了一套名为genericons的软件包，其中包含有嵌入字体的矢量图标。在这套软件包中，名为“example.html”的文件存在不安全因素，而这直接导致该软件包极易被攻击者渗透，Dede在博文中写道。

此次曝光的安全漏洞藏身于genericons当中且极难被发现，Dede写道。这是一项XSS(即跨站点脚本)漏洞，其中恶意有效负载会假借浏览器DOM(即文档对象模型)修改结果的姿态得以运行。根据W3C的解释，DOM这一编程API的作用是负责定义HTML与XML文档如何实现访问与显示。

Dede在博文中指出，由此交付的有效负载会直接在浏览器内得到执行，而不会抵达服务器端。这意味着Web应用程序防火墙对此无能为力——既发现不了、亦阻止不成。

Dede在文章中表示，Sucuri公司发现了一种以虚拟纪方式修复该漏洞的办法，但这项基于DOM的XXS漏洞“极难被阻断”。

在攻击活动得手的情况下，受害者会被引导并点击某条恶意链接。

一部分托管厂商及服务项目，例如GoDaddy、DreamHost以及ClickHost，都已经进行过虚拟补丁安装或者采取其它办法保护用户安全，Dede补充称。

WordPress被广泛应用于Web领域的内容发布工作当中，因此其中的安全漏洞往往会带来严重影响。根据WordPress缔造厂商的估计，其目前在全部互联网站点中的运行比例大概为23%，其中包括《时代》以及美国有线电视新闻网等媒体巨头。

就在上个月，WordPress刚刚通过补丁修复了两项与此次状况类似的严重跨站点脚本漏洞。当时曝光的两项漏洞允许恶意JavaScript代码进入评论字段并实现运行。