安全研究员在WP Statistics插件中发现了一个缺陷,可使黑客貌似合理地窃取数据库,甚至远程劫持网站。该插件是一个非常流行的WordPress插件,用于超过30万个网站上。利用WP Statistics插件,网站管理员可查明网站信息,包含实时在线用户数量,网页统计和访客数量。
WP Statistics插件SQL注入漏洞
Sucuri公司的安全研究员发现WP Statistics插件中可能存在一个SQL注入漏洞,可使远程攻击者利用订阅账户从网站数据库中窃取数据。
让我们先看一下SQL注入背景。SQL注入即结构化查询语言注入,是一个web应用漏洞,可使黑客在web输入中注入恶意SQL代码,从而确定关键数据库的结构和位置。
研究人员解释说:
该漏洞是由于 web 应用未对用户提供的数据进行过滤导致的。 当攻击者获取至少一个订阅账户时,即可导致敏感数据泄露,且在适当情况和配置下,入侵你的WordPress网站。
研究员警告说,
“若你安装了存在该漏洞的WP Statistics插件版本且您的网站允许用户注册,那么您的网站就处于非常危险的境地。”
订阅用户能够向网站注入恶意代码
基本说来,存在漏洞的插件版本可使特定函数绕过对其他权限的检查,使网站订阅用户向网站注入恶意代码。研究员补充道,
“其中一个存在漏洞的函数为includes/functions/functions.php文件中的wp_statistics_searchengine_query()函数。
由于核心函数wp_ajax_parse_media_shortcode()的原因,wp_statistics_searchengine_query()函数可通过WordPress的AJAX功能访问。”
网络安全研究员已在私下将该漏洞上报给了WP Statistics插件的开发人员,他们已经推出了该插件的最新版本WP Statistics 12.0.8修复了该漏洞。
原文发布时间:2017年7月11日
本文由:securityaffairs发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/wp-statistics-sql-injection