WordPress 插件出现漏洞,网站可能被攻击者接管

释放双眼,带上耳机,听听看~!

文章转载开源中国

安全研究人员警告,因旧版 WordPress Simple Social Button 插件出现漏洞,使用这个插件的网站应该尽快更新软件,避免攻击者攻击并接管网站。

Simple Social Button 是由 WPBrigade 公司开发、广受欢迎的 WordPress 插件,可让管理员在网站侧栏或贴文上下方、相片中加入社群分享按钮,也提供网站留言及社群帐号登入。根据 WordPress Plugin 统计,这个插件经常安装用户超过4万,WPBrigade 则宣称它的下载数超过57万。

但 WebARX 研究人员 Luka Šikić 发现,Simple Social Button 应用的设计流程不当,加上未做许可检测,导致权限升级漏洞,这使得非管理员用户得以在 WordPress 上注册新帐号升高权限,执行 plugnin 功能以外的行为,甚至可修改 wp_options 表单中的 WordPress 安装选项。只要在这个阶段安装后门或修改管理员相关资讯,攻击者即可接管 WordPress 网站。

WordPress 管理员如果已禁止用户注册帐号或可免于漏洞危害,但如果网站允许针对博客文章留言,就可能遭到攻击。

研究人员发现漏洞后,于2月7日通报 WPBrigate 公司,WPBrigate 随即在隔日完成修补。该漏洞影响 Simple Social Button 2.0.4 到2.0.22 以前的版本。研究人员呼吁网站管理员需尽速更新。

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

Windows 改进的安全特性减少了黑客的漏洞攻击

2019-2-12 11:12:22

安全漏洞

预警runc容器逃逸漏洞(CVE-2019-5736)

2019-2-13 20:13:09

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索