WordPress display-widgets 插件后门漏洞分析
2017-09-15
事件综述
近日世界知名内容管理系统WordPress官方发布声明称Display Widgets插件存在恶意代码,很可能是插件开发者留下的后门,此插件大概有200,000站点在使用!该后门上传服务器数据到第三方服务器,包括IP地址,UserAgent,站点相关信息等。
相关链接如下:
https://wordpress.org/support/topic/display-widgets-plugin-v2-6-3-1-includes-hacking-code/
存在后门的插件版本:
Version 2.6.1——Version 2.6.3.1
目前官方已经删除了存在漏洞的插件版本。
漏洞分析
官方已经根性了最新版本 2.7 ,所以 ,所以 我们来看最新的 2.7 和存在后门的 2.6.2 2.6.2 的 区别 。
正常情况下 display widgets插件 只存在一个主文件 ,但是在 2.6.2 2.6.2 中多了一个 geolocations.php文件: