根据安全公司 Defiant 的建议,攻击者可以利用 WP-Members Membership WordPress 插件中的高严重性跨站脚本 (XSS) 漏洞将任意脚本注入网页。
该漏洞编号为 CVE-2024-1852,是输入清理和输出转义不充分造成的结果,允许攻击者创建将恶意脚本存储为用户 IP 地址值的帐户。
攻击者可以使用 WP-Members 会员资格的用户注册功能来填写并提交注册表,然后使用代理拦截注册请求,并修改它以包含 X-Forwarded-For 标头,其中包含脚本标记中的恶意负载,Defiant 的Wordfence研究团队表示。
问题是,如果请求中存在 X-Forwarded-For 标头,则插件将使用其值来存储依赖注册表单的任何用户的 IP 地址。
警报称: “由于 HTTP 标头可以被操纵,并且输入未经过净化,因此用户可以提供任何值,包括将存储为用户 IP 的恶意 Web 脚本。”
恶意脚本存储在用户的配置文件中,如果管理员编辑或查看用户帐户,则负载将包含在页面加载时生成的源代码中。
Wordfence 补充道:“重要的是要了解,此恶意代码将在管理员浏览器会话的上下文中执行,并可用于创建恶意用户帐户、将网站访问者重定向到其他恶意网站并执行其他恶意操作。”
在版本 3.4.9.2 中包含部分修复后,WP-Members 会员版本 3.4.9.3 修复了该漏洞。建议用户尽快更新其安装。
WP-Members是一个用户会员插件,拥有超过 60,000 个活跃安装,允许网站所有者轻松设置和管理用户注册、登录和配置文件、设置限制等。
发表评论
您还未登录,请先登录。
登录