Rich Reviews 插件在漏洞被广泛利用后停止使用

在跟踪 WordPress Rich Reviews 插件中零日 XSS 漏洞的利用后,Wordfence 建议用户将其从他们的网站中删除.该公司估计有 16,000 个活动安装容易受到未经身份验证的插件选项更新的影响:

攻击者目前正在滥用此漏洞利用链将恶意广告代码注入目标网站.恶意广告代码会创建重定向和弹出广告.自今年 4 月以来,我们的团队一直在跟踪这次攻击活动.

由于安全问题,Rich Reviews 已于 2019 年 3 月 11 日从 WordPress.org 插件目录中删除.

一周前,一位 Rich Reviews 插件用户报告说,她使用该插件的 4 个网站中有 3 个被重定向脚本感染,删除该插件解决了该问题.该插件的作者一家名为 Nuanced Media 的数字营销机构回应了该帖子,表示将在两周内发布新版本:

我们一直致力于对该插件进行全面重写,但显然有人希望我们更快地处理它,并决定利用我们的插件来获取一些恶意软件.我们现在正在加倍努力,并希望在接下来的两周内将其备份(以及新的舒适和安全).

奇怪的是,似乎并不急于修补当前正在被利用的问题.昨天,在向用户保证即将推出新版本后不到一周,该插件背后的公司宣布将停止对 Rich Reviews 的积极支持和开发.

Nuanced Media 首席执行官 Ryan Flannagan 将 Google 最近对其业务审查指南的更改列为停止开发的原因.

“作为此更新的一部分,在自然搜索结果中,Google 决定删除商家在其自己的 URL 上显示的所有商家评论星级,”弗兰纳根说.

“根据这些信息,我们停止了对 Rich Reviews 的所有积极开发和支持.对于给您带来的任何不便,我们深表歉意.”

该公告不包含有关该漏洞或最近利用的任何信息.用户应该假设插件没有补丁,因为它已正式停产.WordPress.org 上的潜在新用户已经无法使用它,但是那些在其网站上激活 Rich Reviews 的用户应该停用它并尽快删除该插件以避免被黑客入侵.

1
订阅评论
提醒
0 评论
内联反馈
查看所有评论