Wordpress外掛在傳漏洞 黑客可輕鬆接管網站

安全研究人員警告，因舊版Wordpress Simple Social Button插件出現漏洞，有使用這個插件的網站應該儘速更新軟件，避免不肖人士駭入接管網站。Simple Social Button是由WPBrigade公司開發、廣受歡迎的Wordpress插件，可以讓管理員在網站側欄或貼文上下方、相片中加入社羣分享按鈕，也提供網站留言及社羣帳號登入。根據Wordpress Plugin統計，這個外掛常常安裝用戶超過4萬，WPBrigade則宣稱它的下載數超過57萬。

但WebARX研究人員Luka Šikić 發現，Simple Social Button應用設計流程不當，加上未作許可檢測，致使權限升級漏洞，這使得非管理員用戶得以在Wordpress上註冊新帳號升高權限，執行plugnin功能之外的行爲，甚至可修改wp_options窗體中的Wordpress安裝選項。只要在這個階段安裝後門或修改管理員相關信息，攻擊者便可接管Wordpress網站。Wordpress 管理員若是已禁止用戶註冊帳號或可免於漏洞危害，但若是網站容許針對部落格貼文留言，就可能遭到攻擊。研究人員發現漏洞後，於2月7日通報WPBrigate公司，WPBrigate隨即在隔日完成修補。該漏洞影響Simple Social Button 2.0.4到2.0.22之前的版本。研究人員呼籲網站管理員需儘速更新。相關信息來源參考至：http://www.cafes.org.tw/info.asp