设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 IT综合资讯 查看内容

WordPress捐赠插件漏洞,导致网站遭受零日攻击

2019-2-1 17:50| 发布者: joejoe0332| 查看: 193| 评论: 0|原作者: oschina|来自: oschina

摘要: 使用“Total Donations”插件的 WordPress 网站,Defiant 建议网站管理员从他们的服务器中删除该插件,防止黑客利用其代码漏洞攻击网站。过去一周,来自 Defiant 的安全专家观察到了使用 “Total Donations” 插件会 ...

使用“Total Donations”插件的 WordPress 网站,Defiant 建议网站管理员从他们的服务器中删除该插件,防止黑客利用其代码漏洞攻击网站。

过去一周,来自 Defiant 的安全专家观察到了使用 “Total Donations” 插件会导致网站遭受零日攻击。Defiant 是 专门制作 WordPress 防火墙插件的公司。

此次漏洞覆盖所有版本的 “Total Donations” 插件。“Total Donations”是一个商业插件,网站管理员一直用来在网站收集和管理网站捐赠,目前已经放弃维护。

据研究人员 Mikey Veenstra 称,该插件的代码包含几个设计缺陷,这些缺陷从整体上将插件和 WordPress 网站暴露在不安全的环境中,在周五发布的一份安全警报中,Veenstra 表示,该插件包含一个 Ajax 代码,任何未经验证的远程攻击者都可以使用该代码操作改插件。

Ajax 代码存放在插件的一个文件中,这意味着停用插件并不能消除威胁,因为攻击者只需直接调用该文件,所以只有删除整个插件才能保护站点免受攻击。 该Ajax 代码允许攻击者更改任何 WordPress 站点的核心设置项的数值,更改插件相关的设置,修改通过插件收到的捐款的目标帐户,甚至检索 Mailchp 邮件列表。

“Total Donations”的开发商目前已经停止该插件的开发,该公司在 CodeCanyon所有插件目前已全部停止下载。作为一个商业产品,该插件不会有一个庞大的用户群。但该插件最有可能安装在拥有大量用户群的 WordPress 网站上,这些网站是黑客的主要目标。


酷毙

雷人

鲜花

鸡蛋

漂亮

最新评论

(200字以内)
验证问答 换一个 验证码 换一个

  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187  

返回顶部