已安装超过 500 万的 All-in-One WP Migration and Backup 插件中发现并修复了一个高危漏洞。该漏洞无需用户身份验证,因此攻击者可以更轻松地入侵网站,但通过受限的攻击方法可以缓解这一问题。
该漏洞的严重程度等级为 7.5(高),低于最高严重程度等级“严重”。
该漏洞被称为未经身份验证的 P 德国的区号 HP 对象注入。但它的严重性低于典型的未经身份验证的 PHP 对象注入,攻击者可以直接利用该漏洞。此特定漏洞需要具有管理员级别凭据的用户使用插件导出和恢复备份才能触发漏洞。
这种漏洞的工作原理是,WordPress 插件在备份恢复过程中处理潜在的恶意数据,而没有对其进行适当的验证。但由于攻击机会很少,因此利用它并不容易。
然而,如果满足正确的条件,攻击者可以删除文件、访问敏感信息并运行恶意代码。
根据Wordfence的报告:
“WordPress 的 All-in-One WP Migration and Backup 插件在 7.89 及以下所有版本中都容易受到 PHP 对象注入攻击,通过‘replace_serialized_values’函数中不受信任的输入进行反序列化。
这使得未经身份验证的攻击者可以注入 PHP 对象。易受攻击的软件中不存在已知的 POP 链。如果通过安装在目标系统上的附加插件或主题存在 POP 链,则攻击者可以删除任意文件、检索敏感数据或执行代码。管理员必须导出并恢复备份才能触发漏洞。”
该漏洞影响 7.89 及以下版本。建议插件用户将其更新至最新版本(本文撰写时为 7.90)。
阅读 Wordfence 漏洞公告:
All in One WP Migration <= 7.89 – 未经身份验证的 PHP 对象