这个有问题的WordPress插件可以让黑客清除你的网站

研究人员发现了WordPress插件PageLayer的两个严重漏洞,这两个漏洞可能会让黑客劫持使用其设计特性的网站。

受影响的插件通过一个简单的拖放机制来创建自定义网页,这对没有编程经验的用户来说是一个福音,它被部署在超过20万个网站上。

安全公司Wordfence发现了这两个漏洞,这两个漏洞还可以被网络犯罪分子操纵,注入非法代码,篡改现有网站内容,甚至完全删除内容。

据负责此次发现的研究人员称,这两个漏洞源于不受保护的AJAX操作、即时泄露以及缺乏防止跨站请求伪造(CSRF)的措施。

据报道,黑客可以利用这些疏忽来执行各种各样的恶意活动,包括创建管理帐户,引导访问者进入危险的域,并通过web浏览器入侵用户的计算机。

Wordfence解释说:“其中一个漏洞允许任何具有订阅级别和以上权限的认证用户更新和修改包含恶意内容的帖子,以及其他许多功能。”

“第二个漏洞允许攻击者伪造一个请求,代表网站的管理员修改插件的设置,这可能会导致恶意的Javascript注入。”

该安全公司于4月30日披露了这些漏洞,随后PageLayer于5月6日发布了一个补丁,版本号为1.1.2。然而,尽管补丁发布已经过去了三周,但只有大约85000名用户更新到了最新版本,约有120000人仍然处于危险之中。

为了防止站点接管,建议PageLayer用户立即将插件更新到最新版本。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。