近日,WordFence的安全研究人员在WordPress插件——ThemeREX中发现了一个新的漏洞,可被攻击者用来创建管理帐户。
据WordFence称,目前至少有44000个网站安装了ThemeREX插件(很可能都受漏洞的影响)。
这个插件是由ThemeRex公司开发的,它可帮助用户配置并安装460多套商业WordPress主题和模板中的某一个(需在线商店购买)。
该漏洞存在于插件注册的WordPress REST-API端点中,可让攻击者在没有管理权限的情况下执行任意PHP函数。
根据WordFence的报告:“这个插件的某个功能是注册一个WordPress REST-API端点。不过在这个过程中,它并不会验证请求是否来自管理员用户。而且这个端点可执行任意PHP函数,而不是仅仅几个无危害的PHP函数。在这其中最具有威胁的操作就是创建一个新的管理员用户,完全接管网站。”
总而言之,远程攻击者可以利用这个漏洞在包含有漏洞插件的WordPress网站上执行任意代码,乃至注入管理员帐户。
而且不幸的是,目前还没有相关补丁发布,因此安全专家建议立刻删除ThemeREX插件(如果插件版本是1.6.50或更高)。
“在撰写本文时,这个漏洞仍在网络中被积极利用,因此我们建议用户暂时删除ThemeREX插件,直到补丁发布。”
不过研究人员还没有公布漏洞的技术细节,这可能是因为补丁尚未发布,并且已有攻击者开始利用。
“我们故意没有提及较多细节,试图将危害降到最低,同时也希望WordPress网站的管理员积极进行防御。”
“目前,我们敦促所有运行ThemeREX插件的网站的所有者立即从他们的网站上删除它。”
值得一提的是,最近众多WordPress插件的漏洞成为了头条新闻:
2020年1月——InfiniteWP插件的一个认证绕过漏洞可能会影响超过30万个网站。
2020年1月——超过20万的WordPress站点受到插件Code Snippets plugin中CSRF漏洞的影响。
2020年2月——ThemeGrill演示插件曝出严重漏洞,影响超过20万网站,攻击者可用其获得管理员权限。
2020年2月——GDPR Cookie Consent插件被曝出存储型XSS漏洞,影响70万用户。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/98149/hacking/themerex-plugin-zero-day.html