估计有50,000多个WordPress插件,插件下载总数超过12.5亿。但是,并非所有插件都是一样的。安全研究人员最近发现了插件漏洞,这些漏洞可能会影响超过40万个基于WordPress的站点。这些漏洞在InfiniteWP,WP Time Capsule和WP Database Reset插件中找到。幸运的是,攻击者并未发现这些漏洞。
至少300,000个InfiniteWP Client插件用户可能已经受到一个特别严重的漏洞的影响。该插件供需要监督多个网站的管理员使用。攻击者只需要知道站点管理员的用户名,然后“在通过POST请求将其发送到易受攻击的站点之前,先使用JSON和Base64对恶意负载进行编码即可。”攻击者将能够无需任何密码即可登录并获得控制权。该网站。
存在此漏洞是因为插件缺少某些授权检查。如果您使用的InfiniteWP Client版本高达1.9.4.4,则您很容易受到攻击,因此,插件用户应尽快将其站点更新为1.9.4.5版本。
由于WP Time Capsule插件漏洞,至少有20,000个网站容易受到攻击者的攻击。该插件用于备份文件,具有讽刺意味的是“确保安心”。与InfiniteWP Client漏洞类似,攻击者可以在POST请求的正文中包含特定字符串,以自动以管理员身份登录。此漏洞已用1.21.16版进行了修补,用户也应立即更新该插件。
最后一对漏洞影响了使用WP Database Reset插件的近80,000个站点。该插件可帮助用户将其数据库或部分数据库重置为默认设置。该插件最初没有包括适当的安全检查。一个漏洞使攻击者可以重置任何表并导致数据可用性损失。另一个漏洞使任何订阅者都可以完全控制该网站并踢出所有管理员。值得庆幸的是,这两个缺陷在3.15版中已得到修复。当然,安全研究人员还鼓励用户始终备份其站点。您可以在此处查看WordPress安全研究公司Wordfence的警报的完整详细信息。
在其他安全新闻中,最近,美国国家安全局(NSA)发现了一个称为“ CurveBall”的MicrosoftWindows漏洞,因此在野外出现了许多漏洞。该漏洞影响CryptoAPI,并使攻击者能够发起中间人(MitM)攻击,伪造签名等。此漏洞已通过最新的补丁星期二更新修复。与往常一样,最好的建议是尽早并经常对所有软件进行修补和更新。