1. 首页
  2. seo技术

WordPress插件被曝重大bug,超20万个网站受影响

近日,WebARX 安全公司在官网披露, WordPress 中一款名为 ThemeGrill Demo Importer 的插件存在重大 bug,它允许给未经身份验证的用户提供管理员特权。一旦攻击者以管理员身份登录,他就能将网站整个数据库还原为默认状态。目前,这个插件已经被安装在超过 200000 个网站上。据 WebARX 表示,该漏洞影响 1.3.4 和 1.6.1 版本之间的所有 Them

  近日,WebARX 安全性企业在官方网站公布, WordPress 中一款名叫 ThemeGrill Demo Importer 的软件存有重要 bug,它容许给没经身份认证的消费者给予管理人员权利。

  一旦网络攻击以管理员身份登陆,他就能将网址全部数据库查询复原为默认设置情况。

  现阶段,这一软件早已被组装在超出 200000 个网址上。据 WebARX 表明,该缺陷危害 1.3.4 和 1.6.1 版本号间的全部 ThemeGrill Demo Importer 软件。

  依据 WordPress 官方网软件储存库的数据统计说明,最首要的应用版本号是 1.4 到 1.6,占有现阶段软件安裝数量的 98% 以上。

  假如系统漏洞被网络攻击运用,不良影响特别比较严重。

  据了解,ThemeGrill Demo Importer 软件由 ThemeGrill 开发设计,它能让网址使用者在自身的 ThemeGrill 主题风格中导进 demo 內容,进而得到实例并迅速地建立网站。

  在昨日推送的一份报告书中,WebARX 表明,老旧版的 ThemeGrill Demo Importer 非常容易遭受没经身份认证的网络攻击的远程控制进攻。

  网络黑客可以将 crafted payload 发送至易受攻击的网址,并在软件内开启系统漏洞。

  除此之外,假如网站数据库包括名叫“admin\” 的客户,网络攻击则得到对该消费者的访问限制,而且具备对该站点的 full administrator rights。

  据统计,WebARX 的分析工作人员在 2 月 6 日发觉该系统漏洞,并于当日将其汇报给开发者。

  10 天之后,ThemeGrill 公布漏洞修复的最新版本 1.6.2。在编写此文时,修复后的插件下载数大概为 23000,这说明应用 ThemeGrill Demo Importer 软件的大部分网址很有可能仍处在风险中。

  目前为止,这也是2022年被公布的 WordPress 软件中的第二个系统漏洞,它很有可能容许网络攻击消除网站数据库。

  就在上一个月,Wordfence 精英团队在 WP Database Reset 软件中发觉相近问题,而该软件已安裝在 80000 好几个网址上。

  依据 ZDNet 的报导,2022年早已发觉 3 起特别注意的 WordPress 系统漏洞:

  1.GDPR Cookie Consent 软件中存放的跨网站系统漏洞,有超出 700000 个网址应用;

  2.Code Snippet 软件中 CSRF-to-RCE 系统漏洞,有超出 200000 个网址应用;

  3.InfiniteWP 软件中身份认证绕开系统漏洞,有超出 300000 个网址应用。



文章正文:鲁大师seo

<!– 文章来源:不明
–>
标题:WordPress软件被曝重大bug,超20万只网址受影响

原创文章,作者:鲁大师seo,如若转载,请注明出处:http://www.luseo.cn/archives/8773.html

联系我们

15284716688

在线咨询:点击这里给我发消息

邮件:524595840@qq.com

工作时间:周一至周日,9:30-18:30