芬蘭資安業者Klikki Oy發現知名的免費架站平台WordPress 3版本含有重大安全漏洞,駭客可以利用跨站指令碼(Cross-site scripting, XSS)攻擊接管網站管理員的權限,進而在網站上注入各種惡意程式。根據WordPress今年11月的估計,目前3.x版使用率約占WordPress的85.6%,因此全球可能超過5000萬個WordPress網站受到該漏洞影響,建議使用者立即更新到最新版的WordPress版本。
全球以WordPress架站的網站粗估超過6000萬,受影響的3.x版占了85.6%,相當於超過5000萬個網站。(如下圖)
發現這個漏洞的Klikki Oy研究人員Jouko Pynnonen表示,該漏洞允許駭客在特定的文字欄位中注入程式碼,通常是WordPress網站上文章或網頁的評論(迴響,或回應)區域,WordPress上的預設值為任何人都可以評論或回應,而且不需登入或驗證。
駭客能夠在回應中注入夾雜程式碼的內容,當目標對象透過管理員儀表板讀取該評論時,就會觸發惡意程式以接管管理員的帳號,之後便能執行各種管理員權限,包括更改管理員密碼、建立新的管理員帳號,甚至在伺服器上執行攻擊程式。
Klikki Oy已開發出概念性攻擊程式,指出此一漏洞讓駭客不需登入就能嵌人惡意程式,同時還能造成伺服器傷害,這也是WordPress自2009年以來最嚴重的漏洞。
WordPress是在2010年6月釋出WordPress 3.0版本,4.0則於今年的9月發表,顯示該漏洞已存在4年,影響3.0~3.9.2。不過,此一漏洞並未波及最新的4.0版。
WordPress官網在釋出WordPress 4.0.1的說明中表示,這次版本釋出屬重大的安全更新,建議所有較舊的WordPress版本都立即更新。3.9.2 以及更早之前的WordPress 版本都受到跨站指令碼漏洞所影響,可讓匿名使用者感染網站。該漏洞是由Jouko Pynnonen所發現。
雖然WordPress 4.0不受該漏洞影響,但4.0.1另外解決了23隻臭蟲,共八項的安全問題。
此外,Klikki Oy也對於未能更新或升級的WordPress用戶提出暫時解決方案,建議網站可以關閉Texturize功能,同時也釋出外掛程式以協助網站關閉該功能。(編譯/陳曉莉)