WordPress插件出现漏洞 允许黑客清除多达20万个网站

2月18日 消息:使用ThemeGrill提供的商业主题的wordpress站点用户注意了,建议大家赶紧更新与这些主题一起安装的一个插件,以便修补一个允许攻击者清除网站的关键漏洞。

WordPress插件出现漏洞 允许黑客清除多达20万个网站插图

该漏洞存在于ThemeGrill Demo Importer,该插件附带附带了出售商业WordPress主题的web开发公司ThemeGrill出售的主题。

这个插件安装在 20 多万个网站上,允许网站所有者将演示内容导入他们的ThemeGrill主题中,这样他们可以通过示例的基础上构建自己的网站。

然而,在昨天发布的一份报告中,WordPress安全公司WebARX表示,老版本的ThemeGrill Demo Importer很容易受到未经身份验证的攻击者的远程攻击。远程黑客可以向易受攻击的网站发送特制的有效载荷,并触发插件内部的功能。

易受攻击的函数将站点的内容重置为零,有效地清除了所有WordPress站点中ThemeGrill主题激活的内容,并且安装了易受攻击的插件。

此外,如果站点的数据库包含一个名为“admin”的用户,那么攻击者将被授予对该用户的访问权,该用户拥有站点的完全管理员权限。

WebARX表示,该漏洞影响了所有1.3. 4 到1.6. 1 版本的ThemeGrill Demo Importer插件。插件的开发者ThemeGrill修复了这个漏洞,并在周末发布了1.6. 2 版。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
搜索