根据我们掌握的情况，全球约有27%的网站面临相关风险。

E安全11月23日讯 互联网中高达四分之一网站可能面临严重威胁——WordPress核心更新服务器已因一项安全漏洞而遭到恶意入侵。

这项已被关闭的远程代码执行漏洞源自api.wordpress.org内的一个php webhook，其允许开发者自行选择散列算法以证明代码更新合法。

WordPress安全项目WordFence首席开发者Matt Barry发现，攻击者能够提交极弱散列算法并作为验证过程的组成部分。如此一来，共享密钥只需要数个小时即可暴力破解完成。

这样狭窄的猜测范畴已经被WordPress安全系统所发现并关注。

利用这项漏洞的攻击者随后可向WordPress更新服务器发送URL，其会被旋即推送至全部WordPress站点。Web监控服务W3techs.com认为，这些站点可能占全球整体万维网网站中的27.1%。

Barry表示：“通过入侵api.wordpress.org，攻击者可能足以一次性突破全世界超过四分之一的网站。”

“我们分析了WordPress的代码，并发现其中一项安全漏洞可能允许攻击者在api.wordpress.org上执行其自有代码并获取访问权。”

“入侵更新服务器可能意味着攻击者能够提供自有URL，从而将软件自动下载并安装至各WordPress网站当中。”

攻击者还能够进一步执行恶意活动; 一旦后门或者恶意更新被推送完成，他们将能够立足于受入侵网站禁用WordPress的默认自动更新机制。

Barry指出，WordPress未能利用签名验证以检查已安装的各项更新，而是选择信任来自api.wordpress.org的全部URL与软件包。

WordPress的哈希验证流程在受到削弱之后，攻击者将能够向shell_exec直接传送POST参数，从而执行远程代码并顺利入侵api.wordpress.org更新服务器。

Barry选择了安全性较弱的adler32散列算法，其能够将可能的排列组合由43亿个（2的32次方）大幅缩减至10万到40万个。

“这代表着共享内容更易被猜出，只需要数个小时攻击者即可自行向api.wordpress.org发送webhook，”Barry表示。“一旦该webhook允许此请求，攻击方即可在api.wordpress.org上执行shell命令以访问底层操作系统，这意味着api.wordpress.org被正式攻破。”

Barry于9月2日将该项bug报告给了WordPress开发方Automattic，五天之后相关修复补丁即正式推出。

然而他仍然认为，api.wordpress.org将成为数百万依赖其进行更新的WordPress网站的单点故障根源。

在他看来，Automattic方面并没有回应他提出的故障点讨论建议，亦无意调整现有更新认证机制。

Barry并不是惟一一名关注这种控制能力缺陷的安全研究人员; 在本周的OpenWall安全邮件组讨论当中，亦有研究人员提出了类似的理论性攻击途径。

不过尽管这方面建议最早可追溯至三年前，但WordPress管理方显然仍坚持对这一观点加以忽略。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com