Rich Reviews 插件在漏洞被广泛利用后停止使用

在跟踪 WordPress Rich Reviews 插件中零日 XSS 漏洞的利用后，Wordfence 建议用户将其从他们的网站中删除.该公司估计有 16,000 个活动安装容易受到未经身份验证的插件选项更新的影响:

攻击者目前正在滥用此漏洞利用链将恶意广告代码注入目标网站.恶意广告代码会创建重定向和弹出广告.自今年 4 月以来，我们的团队一直在跟踪这次攻击活动.

由于安全问题，Rich Reviews 已于 2019 年 3 月 11 日从 WordPress.org 插件目录中删除.

一周前，一位 Rich Reviews 插件用户报告说，她使用该插件的 4 个网站中有 3 个被重定向脚本感染，删除该插件解决了该问题.该插件的作者一家名为 Nuanced Media 的数字营销机构回应了该帖子，表示将在两周内发布新版本:

我们一直致力于对该插件进行全面重写，但显然有人希望我们更快地处理它，并决定利用我们的插件来获取一些恶意软件.我们现在正在加倍努力，并希望在接下来的两周内将其备份(以及新的舒适和安全).

奇怪的是，似乎并不急于修补当前正在被利用的问题.昨天，在向用户保证即将推出新版本后不到一周，该插件背后的公司宣布将停止对 Rich Reviews 的积极支持和开发.

Nuanced Media 首席执行官 Ryan Flannagan 将 Google 最近对其业务审查指南的更改列为停止开发的原因.

“作为此更新的一部分，在自然搜索结果中，Google 决定删除商家在其自己的 URL 上显示的所有商家评论星级，”弗兰纳根说.

“根据这些信息，我们停止了对 Rich Reviews 的所有积极开发和支持.对于给您带来的任何不便，我们深表歉意.”

该公告不包含有关该漏洞或最近利用的任何信息.用户应该假设插件没有补丁，因为它已正式停产.WordPress.org 上的潜在新用户已经无法使用它，但是那些在其网站上激活 Rich Reviews 的用户应该停用它并尽快删除该插件以避免被黑客入侵.