All-in-One Security (AIOS) 是专为 WordPress 设计的安全插件,然而近期被发现有两个漏洞,可能允许恶意上传、跨站点脚本和允许查看任意文件的内容。该插件的漏洞影响多达 100 万个 WordPress 站点。
All-In-One Security (AIOS) – 安全与防火墙插件
由 UpdraftPlus开发的 All-In-One Security (AIOS) 插件提供旨在锁定黑客的安全和防火墙功能。可锁定攻击者的登录安全保护、剽窃保护、阻止热链接、阻止评论垃圾邮件以及可抵御黑客威胁的防火墙。
该插件还通过提醒用户注意常见错误(例如使用“admin”用户名)来加强主动安全性。
Updraft Plus 是很著名的 WordPress 插件发布商,其发布的另外一款插件 UpdraftPlus Premium 是评分最高,最受欢迎的WordPress备份与恢复插件。
正因为如此,使 AIOS 非常受欢迎,拥有超过一百万的 WordPress 站点安装。
爆出两个漏洞
一、数据清理失败
第一个漏洞是由于数据清理失败,特别是无法转义日志文件。
转义数据是一个基本的安全过程,它从插件生成的输出中剥离任何敏感数据。
WordPress 甚至有一个专门针对该主题的开发人员页面,其中包含有关如何做以及何时做的示例。
WordPress官网关于转义输出的开发者页面说明:“转义输出是通过剥离不需要的数据(如格式错误的 HTML 或脚本标签)来保护输出数据的过程。此过程有助于在为最终用户呈现数据之前保护您的数据。”
NVD 描述了这个漏洞:
“5.1.5 之前的 All-In-One Security (AIOS) WordPress 插件在将日志文件的内容输出到插件管理页面之前不会转义日志文件的内容,从而允许授权用户 (admin+) 植入包含恶意 JavaScript 代码的虚假日志文件这将在访问此页面的任何管理员的上下文中执行。”
二、目录遍历漏洞
此漏洞允许攻击者利用安全故障来访问正常情况下无法访问的文件。
非营利组织 Open Worldwide Application Security Project (OWASP) 警告说,一次成功的攻击可能会危及关键系统文件。
NVD 描述了这个漏洞:
“5.1.5 之前的 All-In-One Security (AIOS) WordPress 插件不限制在其设置页面中显示的日志文件,允许授权用户 (admin+) 查看任意文件的内容并列出目录中的任意位置服务器(Web 服务器可以访问的服务器)。该插件仅显示文件的最后 50 行。”
虽然这两个漏洞都要求攻击者获得管理员级别的权限才能利用攻击,实际上攻击很难发生。然而,用户希望安全插件不会有这些类型的可预防漏洞。
建议更新至 5.1.6 以上版本
AIOS 在该插件的 5.1.6 版本中发布了一个补丁。请所有用户至少更新到版本 5.1.6,最好是更新到最新版本 5.1.7。
新版插件下载地址:https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
原文地址:https://www.zhanzhangb.com/6488.html