更新时间:2026-01-28 03:02:52
开发经验
34攻击者利用流行的WordPress 插件Yuzo 相关帖子中的一个漏洞,将JavaScript 注入网站页面。此JavaScript 将导致访问者被重定向到显示诈骗的网站,包括技术支持诈骗,以及宣传浏览器扩展等不需要的软件的网站。
2019年3月30日,该漏洞被WordPress安全公司公开披露后,Yuzo相关帖子的开发者从WordPress插件目录中删除了该插件。虽然这可以防止新用户被感染,但现有的60,000 多个安装不会收到通知,因此很容易受到攻击。
Yuzo 相关帖子缓存插件页面攻击者最近开始利用此漏洞,插件用户注意到他们的WordPress 网站突然开始将用户重定向到不需要的网站。经过仔细检查,用户确定该漏洞允许攻击者修改wp_options 表的yuzo_lated_post_options 值以包含以下JavaScript 脚本。
当注入的JavaScript脚本被反混淆后,我们可以看到该脚本将创建一个新的脚本标签,其源代码为https://hellofromhony.org/counter,该标签将被注入到页面的头部。
一旦注入,浏览器将加载位于hellofromhony[.]org 的脚本,这将导致访问者经历一系列网站重定向,直到他们登陆诈骗页面。在测试这些重定向时,人们将被带到各种“旋转轮子”类型的诈骗页面。
技术支持诈骗据Defiant 研究员Dan Moen 撰写的有关该漏洞的文章称,缺少身份验证检查允许攻击者修改yuzo_lated_post_options 值以注入脚本。这是通过错误地使用is_admin 函数来完成的,该函数用于确定用户是否位于WordPress 网站的管理员部分,而不是检查用户是否是管理员的常见误用方法。
“开发人员经常错误地使用is_admin() 来检查一段需要管理权限的代码是否应该运行。在这种情况下,对界面页面的任何管理请求都会调用self:_ini_(),包括/wp-admin/options-general.php 和/wp-admin/admin-post.php,这允许self:save_options(); 稍后在代码中处理POST 请求这些页面。”
注入的脚本与之前的WordPress 攻击有很多共同点根据Moen 的说法,注入的脚本与之前针对Social Warfare 和Easy WP SMTP 插件的攻击有很多共同点。
与对Yuzo 的攻击一样,之前的攻击利用了与hellofromhony[.]org 使用的IP 地址相同的主机,并注入了一个脚本,导致重定向到不需要的站点。
“到目前为止,该漏洞利用托管恶意脚本hellofromhony[.]org 来解决问题176.123.9[.]53,”Moen 解释道。 “Social Warfare 和Easy WP SMTP 活动中使用了相同的IP 地址。此外,所有三个活动都涉及利用存储的XSS 注入漏洞并部署恶意重定向。我们对这三个攻击都指向共同威胁的策略、技术和程序(TTP) 充满信心。”
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
