全球知名开源博客程序Wordpress的一个使用非常广泛的插件FancyBox for WordPress爆出高危漏洞。

国外安全研究公司Sucuri在周三发布了一个安全告警。说这个插件漏洞正在被广泛的利用，攻击wordpress网站。据悉目前互联网上目前有超过7000万的网站使用的是wordpress开源系统，在这7000万网站中大约有超过100万的网站使用了这个插件。

关于Fancybox

Fancybox 是一款很绚丽的 jquery 弹出层展示插件，该lightbox除了能够展示图片之外，还可以展示iframed内容， 通过css自定义外观，因此被广泛使用。

黑客利用漏洞植入恶意软件

这次的漏洞允许黑客植入一个恶意的iframe(或者任意的js脚本)到受害网站，然后利用这个iframe挂马。“目前有大量的网站被植入iframe并链接到203koko这个网站用来植入恶意软件”，Sucuri公司的创始人兼首席技术官丹尼尔说道。

目前FancyBox for WordPress这个插件已经从wordpress插件商店下架。官方最新的3.0.4版本已经修复此漏洞。