您现在的位置是:首页 > 博客程序 > 两个WordPress插件存在严重安全漏洞 看看你的网站用没用?

两个WordPress插件存在严重安全漏洞 看看你的网站用没用?

时间:2020-01-22 22:38:28  来源:VPS科普网  阅读次数: 我要评论

阿里云服务器 腾讯云服务器 习梦云:高防云服务器 ZJI:香港日本美国独服
LOCVPS服务周到 HostKvm低调KVM 傲游主机:优质VPS 80VPS:老牌VPS主机
搬瓦工:CN2 GIA线路 CloudCone:性价比高 Vultr:按小时计费VPS VirMach:超级便宜
JustMySocks科学上网 CloudRaft大硬盘VPS 洛杉矶QN机房官方VPS 恒创:香港CN2服务器

站长之家 1月16日 消息:据zdnet报道,WordPress的两个插件 InfiniteWP Client和 WP Time Capsule被曝出现严重的安全漏洞,估计有 32 万个网站容易被利用攻击。

这两个插件被用于在一服务器上管理多个WordPress网站,并在发布更新时为文件和数据库条目创建备份。WebArx的网络安全研究人员发现,代码中存在逻辑问题,允许他人无需密码即可登录管理员帐户。根据WordPress插件库数据,InfiniteWP活跃在超过300, 000 个网站,而WP Time Capsule在至少活跃在20, 000 个网站上。

周二,研究小组表示,影响InfiniteWP 1.9.4. 5 以下版本的逻辑问题意味着,使用 JSON 和 Base64 编码的 POST 请求有效负载可以绕过密码请求,只需知道管理员的用户名即可登录。

而在1.21. 16 以下的WP Time Capsule版本中,函数行中的问题可以通过在原始POST请求中添加一个精心设计的字符串来调用一个函数,该函数获可取所有可用的管理员帐户,并作为列表中的第一个管理员登录。

1 月 7 日,WebArx 向这两款插件的开发者报告了这些漏洞,开发者迅速作出反应,并在一天后发布软件更新。Webarx建议网站管理员尽快安装更新避免遭受攻击,因为防火墙保护将不起作用。

搬瓦工:CN2 GIA线路 CloudCone:性价比高 Vultr:按小时计费VPS VirMach:超级便宜
JustMySocks科学上网 CloudRaft大硬盘VPS 洛杉矶QN机房官方VPS 恒创:香港CN2服务器
留言与评论(共有 0 条评论)
   
验证码: