Automattic公司修复了其垃圾留言过滤插件Akismet的一个XSS漏洞,攻击者可以利用该漏洞攻击博客网站WordPress。
Akismet是WordPress默认安装的插件,数百万WP网站都安装有该插件。Akismet能够帮助网站管理员轻松检测到垃圾留言并将其删除,或者将可疑的留言在评论区做特殊的标记。
漏洞影响Akismet3.1.4.及以下版本
攻击者在博客评论中插入了恶意代码,存储于网站数据库中。恶意代码在管理员浏览后台评论区的恶意链接时运行。
虽然WordPress有多层XSS过滤防护网,漏洞在网站将基于文本的笑脸符号“:)”转化为图片符号时出现。由于所有的WordPress网站都默认开启这个功能,因此攻击者很容易得逞。
Automattic公司修复漏洞
漏洞被发现于月初,Automattic公司不到两周就发布了新版本3.1.5修复了这个问题。
另外,由于Akismet会检查到云服务器的所有垃圾评论,因此也能够发现来自老版本的API调用。WordPress团队为此专门建立了一个保护系统以防止类似攻击,保护还未更新本地的Akismet插件的用户。
本月初, Automattic公司的另外一个插件Jetpack中也出现了类似的XSS漏洞。