Wordfence 安全研究员发布报告称,WordPress 商用插件 Total Donations 受多个 0day 漏洞的影响,且这些漏洞已遭利用。php
这些严重的漏洞影响全部已知的 Total Donations 版本(包括版本 2.0.5 在内),可致使恶意人员得到对受影响 WordPress 站点的管理权限。因为该插件的开发人员还没有作出任何回应,所以建议用户彻底删除该插件。html
Total Donations 是由 Calmar Webmedia 开发的,旨在让在线捐赠接受活动变得更加容易,且让站点全部人可以选择查看进度条并管理任务和活动。linux
Wordfence 团队发现该插件“在 WordPress 中共注册了88个惟一的 AJAX 操做,每种操做均可遭未验证用户经过查询典型的 /wp-admin/admin-ajax.php 端点访问。”ajax
另外,安全研究人员发现,其中49种操做可被用于访问敏感数据、对网站的内容和配置信息作出未受权更改甚至是彻底接管网站。安全
Total Donations 可致使非验证用户读取并更新任意 WordPress 选项,且 Wordfence 表示恶意人员已经在利用这个问题。wordpress
研究人员找到了两个函数可被用于读取任意 WordPress 选项的值以及多个函数可被用于修改这些选项的值。这两个函数可经过受影响站点上的管理权限注册新的用户帐户。函数
Total Donations 可链接至 Stripe 做为一种支付处理器并利用 Stripe 的 PlansAPI 来调度重复的捐款。然而,用于交互的函数并不具备访问控制,且可被用于篡改重复捐款。测试
攻击者还可以将收到的捐款路由到另一个 Stripe 帐户。网站
Total Donations 还包括将自身活动和邮件清单集成的功能,但这些功能未能“在返回和联网帐户邮件清单相关的数据前执行权限检查。”插件
该插件还受到其它多种漏洞的影响,可容许对私有的未公布帖子进行未经认证的访问,从而致使 SQL 注入,且容许攻击者将测试邮件发送至任意地址(经过自动化可对出站邮件形成拒绝服务)。
Wordfence 将这些漏洞总称为 CVE-2019-6703。
过去几周来,研究人员都在试图尝试联系该插件的开发人员,但并未收到任何回应。所以,这些漏洞尽管已遭利用但仍然并未遭修复。
Wordfence 团队表示,建议使用 Total Donations 的站点全部人尽快删除而非禁用这个易受攻击的插件以确保站点的安全。