2月18日 消息:使用ThemeGrill提供的商业主题的WordPress站点用户注意了,建议大家赶紧更新与这些主题一起安装的一个插件,以便修补一个允许攻击者清除网站的关键漏洞。
该漏洞存在于ThemeGrill Demo Importer,该插件附带附带了出售商业WordPress主题的web开发公司ThemeGrill出售的主题。
这个插件安装在 20 多万个网站上,允许网站所有者将演示内容导入他们的ThemeGrill主题中,这样他们可以通过示例的基础上构建自己的网站。
然而,在昨天发布的一份报告中,WordPress安全公司WebARX表示,老版本的ThemeGrill Demo Importer很容易受到未经身份验证的攻击者的远程攻击。远程黑客可以向易受攻击的网站发送特制的有效载荷,并触发插件内部的功能。
易受攻击的函数将站点的内容重置为零,有效地清除了所有WordPress站点中ThemeGrill主题激活的内容,并且安装了易受攻击的插件。
此外,如果站点的数据库包含一个名为“admin”的用户,那么攻击者将被授予对该用户的访问权,该用户拥有站点的完全管理员权限。
WebARX表示,该漏洞影响了所有1.3. 4 到1.6. 1 版本的ThemeGrill Demo Importer插件。插件的开发者ThemeGrill修复了这个漏洞,并在周末发布了1.6. 2 版。