设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 IT综合资讯 查看内容

Wordpress插件出现漏洞,网站可能被攻击者接管

2019-2-15 14:46| 发布者: joejoe0332| 查看: 442| 评论: 0|原作者: oschina|来自: oschina

摘要: 据安全研究人员警告,因旧版 Wordpress Simple Social Button 插件出现漏洞,使用这个插件的网站应该尽快更新软件,避免攻击者攻击并接管网站。Simple Social Button 是由 WPBrigade 公司开发、广受欢迎的 Wordpress ...

安全研究人员警告,因旧版 Wordpress Simple Social Button 插件出现漏洞,使用这个插件的网站应该尽快更新软件,避免攻击者攻击并接管网站。

Simple Social Button 是由 WPBrigade 公司开发、广受欢迎的 Wordpress 插件,可让管理员在网站侧栏或贴文上下方、相片中加入社群分享按钮,也提供网站留言及社群帐号登入。根据 Wordpress Plugin 统计,这个插件经常安装用户超过4万,WPBrigade 则宣称它的下载数超过57万。

但 WebARX 研究人员 Luka Šikić 发现,Simple Social Button 应用的设计流程不当,加上未做许可检测,导致权限升级漏洞,这使得非管理员用户得以在 Wordpress 上注册新帐号升高权限,执行 plugnin 功能以外的行为,甚至可修改 wp_options 表单中的 Wordpress 安装选项。只要在这个阶段安装后门或修改管理员相关资讯,攻击者即可接管 Wordpress 网站。

Wordpress 管理员如果已禁止用户注册帐号或可免于漏洞危害,但如果网站允许针对博客文章留言,就可能遭到攻击。

研究人员发现漏洞后,于2月7日通报 WPBrigate 公司,WPBrigate 随即在隔日完成修补。该漏洞影响 Simple Social Button 2.0.4 到2.0.22 以前的版本。研究人员呼吁网站管理员需尽速更新。


酷毙

雷人

鲜花

鸡蛋

漂亮
  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187 浙公网安备 33010602006705号   

返回顶部