Fancybox For WordPress是一款很棒的WordPress圖片插件，它可以讓你的WordPress圖片彈出一個漂亮的瀏覽界面，展示豐富的彈出層效果。

上周安全研究人員發(fā)現(xiàn)部分Wordpress博客遭遇了批量掛馬，而這些博客的共同點就是都安裝了這款Fancybox插件。研究人員經(jīng)過分析，找到了這款插件中的漏洞。

漏洞分析

這個漏洞存在于低于3.0.2版本的插件，而漏洞利用的是一個針對wp插件的一個比較常見的攻擊途徑：未經(jīng)保護的admin_init鉤子。

由于admin_init鉤子可以被任何訪問/wp-admin/admin-post.php或/wp-admin/admin-ajax.php頁面的人調(diào)用，攻擊者就可以將插件中的“mfbfw”選項更改成任何內(nèi)容。

那這個選項又是干什么的呢？

我們發(fā)現(xiàn)很多地方都用到了這個選項。而引起我們注意的是mfbfw_init()函數(shù)，這個函數(shù)會顯示jQuery腳本，使用了我們之前在mfbfw_admin_options()函數(shù)中設定的參數(shù)。

上圖中你可以看到，$settings沒有處理就輸出了。

因此攻擊者如果使用未經(jīng)保護的admin_init鉤子就能夠在被攻擊網(wǎng)站的所有網(wǎng)頁注入惡意javascript攻擊負載，比如惡意的iframe。

[參考來源Sucuri，譯/Sphinx，轉(zhuǎn)載請注明來自Freebuf黑客與極客]