WordPress插件出现漏洞 允许黑客清除多达20万个网站

2月18日 消息:使用ThemeGrill提供的商业主题的WordPress站点用户注意了,建议大家赶紧更新与这些主题一起安装的一个插件,以便修补一个允许攻击者清除网站的关键漏洞。

该漏洞存在于ThemeGrill Demo Importer,该插件附带附带了出售商业WordPress主题的web开发公司ThemeGrill出售的主题。

这个插件安装在 20 多万个网站上,允许网站所有者将演示内容导入他们的ThemeGrill主题中,这样他们可以通过示例的基础上构建自己的网站。

然而,在昨天发布的一份报告中,WordPress安全公司WebARX表示,老版本的ThemeGrill Demo Importer很容易受到未经身份验证的攻击者的远程攻击。远程黑客可以向易受攻击的网站发送特制的有效载荷,并触发插件内部的功能。

易受攻击的函数将站点的内容重置为零,有效地清除了所有WordPress站点中ThemeGrill主题激活的内容,并且安装了易受攻击的插件。

此外,如果站点的数据库包含一个名为“admin”的用户,那么攻击者将被授予对该用户的访问权,该用户拥有站点的完全管理员权限。

WebARX表示,该漏洞影响了所有1.3. 4 到1.6. 1 版本的ThemeGrill Demo Importer插件。插件的开发者ThemeGrill修复了这个漏洞,并在周末发布了1.6. 2 版。

人已赞赏
大事件

360站长平台:关闭网站官网认证入口

2020-2-15 17:04:28

大事件

百度移动开放平台关闭91无线和安卓市场渠道

2020-2-18 10:44:29

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
有新消息 消息中心
搜索