WordPress爆最新漏洞,超40万网站受影响

WordPress爆最新漏洞,超40万网站受影响

2019年1月某安全研究人员发现了三个严重WordPress漏洞,三个WordPress插件受到了广泛的关注。这些漏洞的数量令人警醒,因为这些插件已经被安装在超过40万个网站上。

聚光灯下的三个插件是InfiniteWP、WP Time Capsule和WP数据库重置插件。

ZDNet是一个漏洞预警的技术观察网站:“如果你使用这些插件,你应该立即更新,因为防火墙l保护将不起作用。”

HotHardware的布列塔尼格汀(Brittany goet)给出了一些更令人沮丧的数字。她写道,有超过5万个插件可供选择,但并不是所有的都是一样的。

在聚光灯下的三个漏洞之外,我们还可以从InfiniteWP客户机中的认证绕过漏洞开始。Naked Security将其描述为一个允许管理员从同一个界面管理多个WordPress站点的工具。

管理站点的管理员使用InfiniteWP客户端。

格汀说,至少有30万个网站可能受到这一漏洞的影响。

人们发现,这个插件缺乏某些授权检查。她写道:“如果你使用的是不超过1.9.4.4的InfiniteWP客户端版本,你就很容易受到攻击,因此插件的用户应该尽快将他们的网站更新到1.9.4.5版本。”

Wordfence博客(Wordfence是一家名为defiance的公司的产品)称这是一个关键的身份验证漏洞。《概念的证明》于2020年1月14日上午出版。如果你使用的是InfiniteWP客户端版本1.9.4.4或更早,我们建议你立即更新你的安装,以保护你的网站。”

Dan Goodin在Ars Technica中也描述了InfiniteWP客户端插件中绕过认证漏洞的严重性。

它允许管理员在一台服务器上管理多个网站。该漏洞允许任何人在完全没有凭证的情况下登录管理账户。从那里,攻击者可以删除内容,添加新帐户,并执行其他范围广泛的恶意任务。”

安全公司WebARX报告了InfiniteWP客户端和另一个漏洞,WP Time Capsule。

可湿性粉剂时间胶囊的设计,使备份网站数据更容易。

Ars Technica报告说,这个bug已经在1.21.16版本中得到了修复。运行早期版本的网站应该马上更新。网络安全公司WebARX有更多的细节。”

ZDNet谈到了WP时间胶囊;ZDNet的Charlie Osborne说,根据WordPress插件库,WP Time Capsule至少在20,000个域上是活跃的。

WP数据库重置插件受到了广泛的关注,有近8万个站点使用了这个插件,它可以帮助用户将数据库或数据库的某些部分重置为默认设置。

Wordfence:“1月7日,我们的威胁情报小组发现了WP数据库重置中的漏洞,这是一个安装在8万个网站上的WordPress插件。其中一个缺陷允许任何未经身份验证的用户重置任何表从数据库到最初的WordPress安装状态,而另一缺陷允许任何身份验证的用户,即使是那些以最小的权限,能够满足他们的账户管理权限而从表中删除所有其他用户一个简单的请求。”

这个插件最初没有包含适当的安全检查。goet写道:“一个漏洞允许攻击者重置任何表,并导致数据可用性的损失。”另一个漏洞使任何订阅者都可以完全控制网站,并将所有管理员踢出网站。幸运的是,这两个缺陷都在3.15版本中得到了修复。当然,安全研究人员也鼓励用户经常备份他们的网站。”

BleepingComputer的Sergiu Gartlan也注意到了这一发现。"在WordPress数据库重置插件中发现的关键错误…允许攻击者删除所有用户,自动升级为管理员角色,并重置数据库中的任何表。”

Wordfence博客给出了这个建议,认为这些是可能导致站点完全重置和/或接管的关键安全问题。“我们强烈建议立即更新到最新版本(3.15)。”

关于这三个插件:InfiniteWP、WP Time Capsule和WP数据库重置,Ars技术得出了什么结论?他们很少说话,很容易说出来:“是时候修补了。”

读者在Ars上的评论试图找出问题的根源。“问题是,”一位读者说,“当站点管理员安装了10,000个插件,每个插件都成为攻击的新载体。”

用户以前在哪里听到过这种说法?《计算机商业评论》(Computer Business Review)早在6月份就宣称:“WordPress插件被广泛认为是WordPress用户面临的最大安全威胁之一。”

目前还没有证据表明这三种易受攻击的插件中有任何一种正在被广泛使用,Goodin说。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

回到顶部

QQ群962782975