主机参考:VPS测评参考推荐/专注分享VPS服务器优惠信息!若您是商家可以在本站进行投稿,查看详情!此外我们还提供软文收录、PayPal代付、广告赞助等服务,查看详情! |
我们发布的部分优惠活动文章可能存在时效性,购买时建议在本站搜索商家名称可查看相关文章充分了解该商家!若非中文页面可使用Edge浏览器同步翻译!PayPal代付/收录合作 |
下面WordPress教程专栏将向大家介绍三个WordPress插件中发现高危漏洞的情况。希望对有需要的朋友有帮助!
研究人员在三种WordPress插件中发现了高危漏洞。
最近,WordPress安全公司Wordfence的研究人员发现了一个严重的漏洞,该漏洞可以在三个不同的WordPress插件上工作,并且已经影响了超过84,000个网站。此漏洞的执行代码被跟踪为CVE-2022-0215,这是一种跨站点请求伪造(CSRF)攻击。通用安全漏洞评分系统(CVSS)给它打了8.8分。
2021年11月5日,Wordfence的情报团队首次在登录/注册弹出插件中发现了这一漏洞,并启动了披露程序。几天后,他们在Cart Woocommerce (Ajax)插件和wait list Woo Commerce(Back in Stock Notifier)插件中发现了同样的漏洞。通过此漏洞,攻击者可以通过欺骗站点管理员执行操作来更新受攻击网站上的任何站点选项。
攻击者通常会请求触发AJAX操作并执行该功能。如果攻击者能够成功诱骗站点管理员执行点击链接或浏览网站等操作,并且管理员已经通过目标站点的身份验证,则请求将被成功发送,操作将被触发,这将允许攻击者更新网站上的任何选项。
攻击者可以利用这个漏洞,将网站上的“users_can_register”选项更新为OK,并将“default_role”设置(用户在博客上注册的默认角色)设置为管理员,那么他就可以在被攻击的网站上注册为管理员,并完全接管。
Wordfence团队报告了影响Xootix维护的三个插件:
登录/注册弹出插件(超过20,000次安装)
侧面购物车Woocommerce(Ajax)插件(超过4000个安装)
waitwoo commerce(库存恢复通知)插件(超过60,000次安装)
这三个XootiX插件的初衷是为WooCommerce网站提供增强功能。登录/注册弹出窗口插件允许您在标准网站和运行WooCommerce插件的网站上添加登录和注册弹出窗口。waitwoocommerce插件允许你添加产品等待列表和缺货通知。Side Cart Woocommerce插件通过AJAX提供支持,因此可以在网站的任何地方使用购物栏。
针对该漏洞,Wordfence团队特别提醒WordPress用户,一定要检查自己网站上运行的版本是否已经更新到这些插件可用的最新补丁版本,即登录/注册弹出插件2.3版、Waitlist Woocommerce插件2.5.2版、Side Cart Woocommerce插件2.1版。
就是这些WordPress插件存在高危漏洞!更多详情请关注主机参考其他相关文章!
这几篇文章你可能也喜欢:
- 如何清除WordPress缓存?(WordPress消耗内存)
- 如果将图像上传到 WordPress 网站时出现 HTTP 错误,我该怎么办?
- 如何解决WordPress媒体库图片加载错误(WordPress媒体库文件路径)
- 如果您的WordPress站点无法更新怎么办(如何设置WordPress站点地址)
- 如何防止独立WordPress外贸网站被搜索引擎索引
本文由主机参考刊发,转载请注明:这些WordPress插件存在高危漏洞!(wordpress插件破解) https://zhujicankao.com/86837.html
评论前必须登录!
注册