WordPress的WP Product Review Lite插件中最近解决的一个漏洞可能被未经身份验证的攻击者滥用来入侵网站。

WP Product Review Lite设计用于在WordPress网站上创建产品评论。它支持创建顶级产品评论小部件，还可以通过在帖子中添加“立即购买”按钮来获利。该插件有40,000多个安装。

上周，该插件背后的开发人员团队解决了一个未经身份验证的持久跨站点脚本（XSS）漏洞，该漏洞可能已被利用来向网站的所有产品页面中注入代码。

Sucuri安全研究人员解释说，这个问题是，尽管所有用户输入数据都已清除，但如果攻击者在HTML属性内设置参数，则可以绕过所用的WordPress功能之一。

研究人员解释说：“成功的攻击导致恶意脚本被注入到该站点的所有产品中。”

Sucuri警告说，无需身份验证即可发起攻击，这意味着威胁参与者可以自动进行攻击。这使得网络罪犯很容易对大量易受攻击的网站发起攻击。

Sucuri的研究人员指出：“活动安装的数量，易于利用以及成功攻击的后果，使此漏洞特别危险。”

Sucuri于5月13日报告了此漏洞，并于第二天发布了WP Product Review Lite 3.7.6版本的补丁程序。

尽管未观察到主动利用尝试，但安全研究人员建议站点管理员尽快升级到修补版本，因为该插件的较旧版本仍然容易受到攻击和潜在的危害。