Total donor是一个易于使用但功能强大的WordPress插件,用于接受在线捐款。捐赠者可以使用一种直观的捐赠表格快速地为您的非营利组织、教会或政治组织捐款,而管理面板允许您轻松地管理您的任务、进度条和活动。
根据研究员Mikey Veenstra的说法,该插件的代码包含几个设计缺陷,它们将插件和WordPress网站暴露给一个不安全的环境。在周五发布的安全警报中,Veenstra表示该插件包含一个Ajax代码,任何未经身份验证的远程攻击者都可以使用该代码来操纵插件。
Ajax代码存储在插件的文件中,这意味着禁用插件并不能消除威胁,因为攻击者只需要直接调用文件,因此只删除整个插件可以保护站点免受攻击。此Ajax代码允许攻击者更改任何WordPress站点的核心设置的值,更改与插件相关的设置,修改通过插件接收的捐赠的目标帐户,甚至检索MailChimp邮件列表。
“Total Donations”的开发者已停止开发该插件,CodeCanyon中所有公司的插件现已停止下载。作为商业产品,该插件没有庞大的用户群。但该插件最有可能安装在具有庞大用户群的WordPress网站上,这是黑客的主要目标。