当前位置: 天下车行网 > 技术

尽管几周前修补了一个流行的WordPress插件中的两个严重缺陷

腾讯    2022-04-18 09:04   阅读量:13883   

尽管几周前修补了一个流行的WordPress 插件中的两个严重缺陷,但数十万网站管理员尚未部署更新,这使他们的网站面临被接管攻击的风险。

尽管几周前修补了一个流行的WordPress插件中的两个严重缺陷

一体化SEOWordPress插件容易受到两个缺陷的影响——CVE—2021—25036,这是一个严重的身份验证权限提升缺陷,以及 CVE—2021—25037,一个高严重性的身份验证 SQL 注入错误

总共有 300 万个站点容易受到该漏洞的影响在过去的两周里,自从插件的开发者发布补丁以来,更新了超过 200 万个插件,还有大约 820,000 个插件仍然容易受到攻击

快速更新插件

最先发现这些漏洞的 Automattic 安全研究员 Marc Montpas 表示,在易受攻击的站点上滥用这些漏洞很容易,因为攻击者所需要做的就是将单个字符改为大写以绕过所有权限检查。使用侧边栏顶部的选项卡进行填充和线条颜色,效果和属性。这些选项卡会根据您在下拉列表中选择的图表区域而变化。。

这尤其令人担忧,因为插件的一些端点非常敏感例如,aioseo/v1/htaccess端点可以用任意内容重写站点的 .htaccess,他说攻击者可能会滥用此功能来隐藏 .htaccess 后门并在服务器上执行恶意代码

使用多合一 SEOWordPress插件的网站管理员应确保将其更新到 4.1.5.3 版

WordPress 插件带来的严重缺陷相对常见例如,就在一个月前,Starter Templates — Elementor, Gutenberg amp, Beaver Builder Templates 插件中的一个漏洞,允许贡献者级别的用户完全覆盖网站上的任何页面,并随意嵌入恶意 JavaScript在这种情况下,超过一百万个站点处于危险之中

同月,WooCommerce 预览电子邮件插件也被发现存在严重缺陷,可能允许攻击者完全接管网站该插件已被 20,000 多个站点使用


0 条评论

no_user

发表

  • 网络安全平台
  • 信息监察安全
  • 在线客服
  • 文明传播平台