WordPress圖片插件Fancybox-For-WordPress漏洞導(dǎo)致大局部掛馬

Fancybox For WordPress是一款很棒的WordPress圖片插件，它可以讓你的WordPress圖片彈出一個(gè)漂亮的瀏覽界面，展示豐富的彈出層效果。

上周安全研究人員發(fā)現(xiàn)部分Wordpress博客遭遇了批量掛馬，而這些博客的共同點(diǎn)就是都安裝了這款Fancybox插件。研究人員經(jīng)過(guò)分析，找到了這款插件中的漏洞。

漏洞分析

這個(gè)漏洞存在于低于3.0.2版本的插件，而漏洞利用的是一個(gè)針對(duì)wp插件的一個(gè)比較常見(jiàn)的攻擊途徑：未經(jīng)保護(hù)的admin_init鉤子。

由于admin_init鉤子可以被任何訪問(wèn)/wp-admin/admin-post.php或/wp-admin/admin-ajax.php頁(yè)面的人調(diào)用，攻擊者就可以將插件中的“mfbfw”選項(xiàng)更改成任何內(nèi)容。

那這個(gè)選項(xiàng)又是干什么的呢？

我們發(fā)現(xiàn)很多地方都用到了這個(gè)選項(xiàng)。而引起我們注意的是mfbfw_init()函數(shù)，這個(gè)函數(shù)會(huì)顯示jQuery腳本，使用了我們之前在mfbfw_admin_options()函數(shù)中設(shè)定的參數(shù)。

上圖中你可以看到，$settings沒(méi)有處理就輸出了。

因此攻擊者如果使用未經(jīng)保護(hù)的admin_init鉤子就能夠在被攻擊網(wǎng)站的所有網(wǎng)頁(yè)注入惡意javascript攻擊負(fù)載，比如惡意的iframe。

[參考來(lái)源Sucuri，譯/Sphinx，轉(zhuǎn)載請(qǐng)注明來(lái)自Freebuf黑客與極客]