影响 10 万网站的 XSS 漏洞在 KingComposer WordPress 插件中被修补

该漏洞可能被利用在访客浏览器中执行恶意有效载荷。

KingComposer是基于WordPress域名的拖放页面生成器，无需对由内容管理系统（CMS）驱动的网站进行编程或直接编码。

Wordfence威胁情报团队于6月25日发现了XSS漏洞。通过对CVE-2020-15299进行跟踪，并给出了6.1的严重评分，发现该插件用于使用Ajax函数来促进页面生成器功能时发现了该安全漏洞。

其中一个Ajax函数没有使用，但仍可以通过将POST请求发送到名为admin-ajax.php的脚本并将其动作参数设置为kc_install_online_preset来启动。

该函数通过各种参数呈现JavaScript，然后对这些参数进行base64解码。

“这样，如果攻击者在恶意有效负载上使用base64编码，并诱使受害者在kc-online-preset-data参数中发送包含此有效负载的请求，则恶意有效负载将在受害者的浏览器中解码并执行”，研究人员说。

反映的XSS漏洞依赖于受害者执行特定操作以触发攻击。例如，这可以通过提供需要单击的恶意链接来实现，如果成功，则可能导致浏览器会话劫持或恶意软件下载和执行。

Wordfence威胁情报团队在发现插件后的第二天尝试与他们联系。但是，没有任何回应，导致该团队于6月25日直接与WordPress插件团队联系。到6月26日，与KingComposer开发人员取得了联系，并于6月29日发布了补丁版本2.9.5。

通过删除易受攻击切且过时的Ajax函数解决了安全问题。

在撰写本文时，62.1％的用户已更新到2.9.5版，因此启用了KingComposer的网站中仍有37.9％的风险被利用。