WordPress插件出现漏洞 允许黑客清除多达20万个网站

2月18日 消息:使用ThemeGrill提供的商业主题的WordPress站点用户注意了,建议大家赶紧更新与这些主题一起安装的一个插件,以便修补一个允许攻击者清除网站的关键漏洞。

WordPress插件出现漏洞 允许黑客清除多达20万个网站插图

该漏洞存在于ThemeGrill Demo Importer,该插件附带附带了出售商业WordPress主题的web开发公司ThemeGrill出售的主题。

这个插件安装在 20 多万个网站上,允许网站所有者将演示内容导入他们的ThemeGrill主题中,这样他们可以通过示例的基础上构建自己的网站。

然而,在昨天发布的一份报告中,WordPress安全公司WebARX表示,老版本的ThemeGrill Demo Importer很容易受到未经身份验证的攻击者的远程攻击。远程黑客可以向易受攻击的网站发送特制的有效载荷,并触发插件内部的功能。

易受攻击的函数将站点的内容重置为零,有效地清除了所有WordPress站点中ThemeGrill主题激活的内容,并且安装了易受攻击的插件。

此外,如果站点的数据库包含一个名为“admin”的用户,那么攻击者将被授予对该用户的访问权,该用户拥有站点的完全管理员权限。

WebARX表示,该漏洞影响了所有1.3. 4 到1.6. 1 版本的ThemeGrill Demo Importer插件。插件的开发者ThemeGrill修复了这个漏洞,并在周末发布了1.6. 2 版。

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
在线客服
主机帮
我们将24小时内回复。
2024-11-22 01:19:40
您好,有任何疑问请与我们联系!
您的工单我们已经收到,我们将会尽快跟您联系!
[QQ客服]
176363189
当幸福来敲门
[小黄]
17307799197
[企业邮箱]
sudu@yunjiasu.cc
取消

选择聊天工具: