Wordpress+可视化编辑器=最好的系统+零基础制作网页

网站上所有布局,颜色与设置均可在后台修改,无需编程基础

WP Bakery WordPress漏洞影响数百万个网站

2020-11-15 / 分类: / 浏览量:6次  /   评论数量:0

WP Bakery Page Builder WordPress插件漏洞影响了超过400万个站点。

研究人员在WP Bakery页面构建器中发现了一个漏洞,攻击者可以利用该漏洞将恶意JavaScript注入页面和帖子中。该漏洞使攻击者可以将代码注入到页面和帖子中,然后再攻击站点访问者浏览器。

经过身份验证的存储的跨站点脚本(XSS)漏洞

跨站点脚本漏洞的特征在于,攻击者可以通过使用秘密放置在网站上的恶意脚本来锁定访问者的浏览器。

XSS攻击是最普遍的漏洞之一。

这种特定的攻击称为“身份验证存储的跨站点脚本漏洞”。存储的XSS漏洞是攻击者将脚本放置在网站本身中的漏洞。

但这是一个“已存储身份验证的XSS”漏洞,这意味着攻击者必须具有网站凭据才能执行攻击。

这使它的危险性降低了,因为它要求攻击者采取额外的步骤来获取凭据。

WP Bakery Authenticated存储的XSS漏洞

此特定的WP Bakery漏洞要求攻击者获得贡献者或作者级别的凭证,以将凭证发布到网站。

攻击者获得凭据后,便可以在任何帖子或页面上注入脚本。它还使攻击者能够更改其他用户创建的帖子。

此漏洞由多个漏洞组成。

这些缺陷使HTML和JavaScript可以注入到具有凭据的用户帖子或页面中,也可以注入到其他作者的页面中。还有一个特定的缺陷是针对附加了JavaScript功能的按钮

WP Bakery Page Builder 6.4及以下版本会受到影响

该漏洞是在2020年7月下旬发现的。WPBakery在8月下旬发布了一个补丁,但其他问题仍然存在,包括9月初发布的第二个补丁。

封闭漏洞的最终补丁发布于2020年9月24日。

插件软件开发人员发布变更日志。changelog内容是显示在WordPress管理插件区域中的内容,用于传达更新内容。

不幸的是,WP Bakery的变更日志未反映更新的紧迫性,因为它未明确表示正在修补漏洞。更改日志将漏洞修补程序称为改进。

发表评论

Scroll to Top

QQ群962782975