内容简介:据安全研究人员警告,因旧版 Wordpress Simple Social Button 插件出现漏洞,使用这个插件的网站应该尽快更新软件,避免攻击者攻击并接管网站。 Simple Social Button 是由 WPBrigade 公司开发、广受欢迎的 Word...
据安全研究人员警告,因旧版 Wordpress Simple Social Button 插件出现漏洞,使用这个插件的网站应该尽快更新软件,避免攻击者攻击并接管网站。
Simple Social Button 是由 WPBrigade 公司开发、广受欢迎的 Wordpress 插件,可让管理员在网站侧栏或贴文上下方、相片中加入社群分享按钮,也提供网站留言及社群帐号登入。根据 Wordpress Plugin 统计,这个插件经常安装用户超过4万,WPBrigade 则宣称它的下载数超过57万。
但 WebARX 研究人员 Luka Šikić 发现,Simple Social Button 应用的设计流程不当,加上未做许可检测,导致权限升级漏洞,这使得非管理员用户得以在 Wordpress 上注册新帐号升高权限,执行 plugnin 功能以外的行为,甚至可修改 wp_options 表单中的 Wordpress 安装选项。只要在这个阶段安装后门或修改管理员相关资讯,攻击者即可接管 Wordpress 网站。
Wordpress 管理员如果已禁止用户注册帐号或可免于漏洞危害,但如果网站允许针对博客文章留言,就可能遭到攻击。
研究人员发现漏洞后,于2月7日通报 WPBrigate 公司,WPBrigate 随即在隔日完成修补。该漏洞影响 Simple Social Button 2.0.4 到2.0.22 以前的版本。研究人员呼吁网站管理员需尽速更新。
以上所述就是小编给大家介绍的《Wordpress 插件出现漏洞,网站可能被攻击者接管》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- Skype的Debian软件包可能允许攻击者完全接管机器
- 热门WordPress插件中的0day漏洞将允许攻击者接管目标网站
- 第十八篇:CSRF导致账号接管
- 图解源码 | 接管SpringMVC的自动配置
- 通过暴露的docker.sock文件接管容器
- 破坏攻击者利用域凭据
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
