Sucuri安全公司的研究人员发现，所有使用genericons图标字体数据包的WordPress插件或主题均受到基于DOM的跨站脚本漏洞，原因是genericons中包含一个不安全的文件example.html。

安全专家解释称在所有易受攻击的插件中，有一个活跃安装量已超过百万次的JetPack插件，以及默认的TwentyFifteen主题。由于受影响网站数量众多，Sucuri将漏洞报告给WordPress官方。

所有利用genericons数据包的插件都容易受到影响，如果它包含正常情况下包含在有漏洞数据包中的example.html文件。

“我们不能忘记最基本的一个安全原则，我们必须在生成过程中维持一种原始环境。这就意味着我们在生成之前要删除调试或测试文件。在本例中，Automattic与WordPress团队举出一个简单的example.html文件，里面内嵌着漏洞。”Sucuri表示。

安全研究人员解释称，为了利用基于DOM的XSS漏洞，恶意攻击者需要诱骗受害者点击一个利用链接。很遗憾，威胁发动者已经在全球范围内利用基于DOM的XSS漏洞。

“这个攻击的有趣点在于，我们是在公开前的几天时间内检测到的。我们收到了相关报告，我们的一些客户也收到报告称它们容易受到攻击，并指向：

在POC中，XSS打印出一个javascript警告，但可在用户浏览器中执行javascript并且控制这个站点，如果用户以管理员身份登录的话。”Sucuri表示。

好消息是修复这个基于DOM的XSS漏洞很容易，只要删除“example.html”或拦截任何文件访问就足够了。

(责任编辑：冬天的宇)