這款 WordPress商用插件 0day 漏洞滿滿，且已遭利用

Wordfence 安全研究員發佈報告稱，WordPress 商用插件 Total Donations 受多個 0day 漏洞的影響，且這些漏洞已遭利用。

這些嚴重的漏洞影響全部已知的 Total Donations 版本（包括版本 2.0.5 在內），可致使惡意人員得到對受影響 WordPress 站點的管理權限。因爲該插件的開發人員還沒有作出任何迴應，所以建議用戶徹底刪除該插件。

Total Donations 是由 Calmar Webmedia 開發的，旨在讓在線捐贈接受活動變得更加容易，且讓站點全部人可以選擇查看進度條並管理任務和活動。

Wordfence 團隊發現該插件「在 WordPress 中共註冊了88個惟一的 AJAX 操做，每種操做均可遭未驗證用戶經過查詢典型的 /wp-admin/admin-ajax.php 端點訪問。」

另外，安全研究人員發現，其中49種操做可被用於訪問敏感數據、對網站的內容和配置信息作出未受權更改甚至是徹底接管網站。

Total Donations 可致使非驗證用戶讀取並更新任意 WordPress 選項，且 Wordfence 表示惡意人員已經在利用這個問題。

研究人員找到了兩個函數可被用於讀取任意 WordPress 選項的值以及多個函數可被用於修改這些選項的值。這兩個函數可經過受影響站點上的管理權限註冊新的用戶帳戶。

Total Donations 可鏈接至 Stripe 做爲一種支付處理器並利用 Stripe 的 PlansAPI 來調度重複的捐款。然而，用於交互的函數並不具備訪問控制，且可被用於篡改重複捐款。

攻擊者還可以將收到的捐款路由到另一個 Stripe 帳戶。

Total Donations 還包括將自身活動和郵件清單集成的功能，但這些功能未能「在返回和聯網帳戶郵件清單相關的數據前執行權限檢查。」

該插件還受到其它多種漏洞的影響，可容許對私有的未公佈帖子進行未經認證的訪問，從而致使 SQL 注入，且容許攻擊者將測試郵件發送至任意地址（經過自動化可對出站郵件形成拒絕服務）。

Wordfence 將這些漏洞總稱爲 CVE-2019-6703。

過去幾周來，研究人員都在試圖嘗試聯繫該插件的開發人員，但並未收到任何迴應。所以，這些漏洞儘管已遭利用但仍然並未遭修復。

Wordfence 團隊表示，建議使用 Total Donations 的站點全部人儘快刪除而非禁用這個易受攻擊的插件以確保站點的安全。

 

本文轉自：https://www.linuxprobe.com/wordpress-0day-used.html