800,000个WordPress网站仍然容易受到简单的接管攻击
来源:腾讯 发布时间:2022-04-18 09:04 阅读量:16411
尽管几周前修补了一个流行的WordPress 插件中的两个严重缺陷,但数十万网站管理员尚未部署更新,这使他们的网站面临被接管攻击的风险。
一体化SEOWordPress插件容易受到两个缺陷的影响——CVE—2021—25036,这是一个严重的身份验证权限提升缺陷,以及 CVE—2021—25037,一个高严重性的身份验证 SQL 注入错误
总共有 300 万个站点容易受到该漏洞的影响在过去的两周里,自从插件的开发者发布补丁以来,更新了超过 200 万个插件,还有大约 820,000 个插件仍然容易受到攻击
快速更新插件
最先发现这些漏洞的 Automattic 安全研究员 Marc Montpas 表示,在易受攻击的站点上滥用这些漏洞很容易,因为攻击者所需要做的就是将单个字符改为大写以绕过所有权限检查。使用侧边栏顶部的选项卡进行填充和线条颜色,效果和属性。这些选项卡会根据您在下拉列表中选择的图表区域而变化。。
这尤其令人担忧,因为插件的一些端点非常敏感例如,aioseo/v1/htaccess端点可以用任意内容重写站点的 .htaccess,他说攻击者可能会滥用此功能来隐藏 .htaccess 后门并在服务器上执行恶意代码
使用多合一 SEOWordPress插件的网站管理员应确保将其更新到 4.1.5.3 版
WordPress 插件带来的严重缺陷相对常见例如,就在一个月前,Starter Templates — Elementor, Gutenberg amp, Beaver Builder Templates 插件中的一个漏洞,允许贡献者级别的用户完全覆盖网站上的任何页面,并随意嵌入恶意 JavaScript在这种情况下,超过一百万个站点处于危险之中
同月,WooCommerce 预览电子邮件插件也被发现存在严重缺陷,可能允许攻击者完全接管网站该插件已被 20,000 多个站点使用
。郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。