ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → WordPress官方插件中含有恶意网站攻击插件

WordPress官方插件中含有恶意网站攻击插件

时间:2018-06-02 00:00:00人气:作者:本站作者我要评论

研究人员发现一家公司为WooCommerce平台提供的电子商务网站提供的十个WordPress插件中的漏洞。在开发者未能发布补丁程序后,WordPress禁用了其中的许多功能。

WordPress官方插件中含有恶意网站攻击插件

WordPress安全公司ThreatPress周四报道说,它的研究人员发现了来自Multidots的十个插件中的各种类型的漏洞。受影响的插件可通过WordPress.org获得,它们允许WooCommerce用户管理其在线商店的不同方面。

易受攻击的插件拥有将近20,000次的主动安装,其中包括10,000次页面访问计数器安装,3,000次WooCommerce类别横幅管理安装以及2,000次数字商品WooCommerce Checkout安装。

专家们发现,由Multidots制作的插件受存储的跨站脚本(XSS),跨站点请求伪造(CSRF)和SQL注入漏洞的影响,可以利用这些漏洞完全控制受影响的电子商务网站。

据研究人员称,攻击者可能会破坏网站,执行远程shell,植入键盘记录器,并上传加密货币矿工或其他类型的恶意软件。考虑到受影响的网站是收集个人和财务信息的在线商店,攻击者可能能够获得有价值的信息。

“这些漏洞允许未经身份验证的攻击者注入恶意JavaScript,从而为劫持客户的信用卡数据并接收客户和管理员登录提供机会,”ThreatPress的Rasa Adams告诉SecurityWeek。

虽然在许多情况下利用需要受害者访问特制URL或访问特定页面,但是某些缺陷可以在没有任何用户交互的情况下被利用。

多点在5月8日被告知了这些漏洞,并确认了这些问题。但是,在看到开发者未采取任何行动后,ThreatPress通知WordPress,该决定禁用了大部分受影响的插件。

在ThreatPress公开发布调查结果之前,SecurityWeek与Multidots联系征求意见,但该公司没有回应。

CVE标识符已分配给其中四个漏洞,ThreatPress表示它期望分配更多的漏洞。分配给日期的标识符是CVE-2018-11579,CVE-2018-11580,CVE-2018-11633和CVE-2018-11632。

ThreatPress 针对每个漏洞发布了技术细节和概念证明(PoC)代码。

“很高兴知道WordPress安全响应很快,但仍然存在很大问题。无法通知这些插件的所有用户关于威胁,“亚当斯在一篇博客文章中表示。“奇怪的是,WordPress可以向您显示有关可用更新的信息,但仍然无法通过以相同方式提供有关已关闭插件的信息来保护您。我们希望看到这方面的一些变化。在这种情况下,我们可以通知受影响网站的所有者并获得近两万个网站。“

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网