Fancybox For WordPress是一款很棒的WordPress圖片插件，它可以讓你的WordPress圖片彈出一個漂亮的瀏覽界面，展示豐富的彈出層效果。

上周安全研究人員發現部分Wordpress博客遭遇了批量掛馬，而這些博客的共同點就是都安裝了這款Fancybox插件。研究人員經過分析，找到了這款插件中的漏洞。

漏洞分析

這個漏洞存在于低于3.0.2版本的插件，而漏洞利用的是一個針對wp插件的一個比較常見的攻擊途徑：未經保護的admin_init鉤子。

由于admin_init鉤子可以被任何訪問/wp-admin/admin-post.php或/wp-admin/admin-ajax.php頁面的人調用，攻擊者就可以將插件中的“mfbfw”選項更改成任何內容。

那這個選項又是干什么的呢？

我們發現很多地方都用到了這個選項。而引起我們注意的是mfbfw_init()函數，這個函數會顯示jQuery腳本，使用了我們之前在mfbfw_admin_options()函數中設定的參數。

上圖中你可以看到，$settings沒有處理就輸出了。

因此攻擊者如果使用未經保護的admin_init鉤子就能夠在被攻擊網站的所有網頁注入惡意javascript攻擊負載，比如惡意的iframe。

[參考來源Sucuri，譯/Sphinx，轉載請注明來自Freebuf黑客與極客]