无法在这个位置找到: head2.htm
当前位置: 建站首页 > 新闻动态 > 公司新闻 >

WordPress 软件被曝重特大 bug,超 20 万只网站受危

时间:2021-01-20 17:21来源:未知 作者:jianzhan 点击:
前不久,WebARX 安全性企业在官方网站公布,WordPress 中一款名叫 ThemeGrill Demo Importer 的软件存有重特大 bug,它容许给没经真实身份认证的客户出示管理方法员权利。

前不久,WebARX 安全性企业在官方网站公布,WordPress 中一款名叫 ThemeGrill Demo Importer 的软件存有重特大 bug,它容许给没经真实身份认证的客户出示管理方法员权利。

一旦进攻者以管理方法员真实身份登陆,他就可以将网站全部数据信息库复原为默认设置情况。

现阶段,这一软件早已被安裝在超出 200000 个网站在。据 WebARX 表明,该系统漏洞危害 1.3.4 和 1.6.1 版本号中间的全部 ThemeGrill Demo Importer 软件。

依据 WordPress 官方网软件储存库的统计分析数据信息说明,最关键的应用版本号是 1.4 到 1.6,占有当今软件安裝数量的 98% 之上。

假如系统漏洞黑客攻击者运用,不良影响十分比较严重。

据了解,ThemeGrill Demo Importer 软件由 ThemeGrill 开发设计,它能让网站全部者在自身的 ThemeGrill 主题风格中导进 demo 內容,进而得到实例并迅速地构建网站。

在昨日公布的一份汇报中,WebARX 表明,年久版本号的 ThemeGrill Demo Importer 非常容易遭受没经真实身份认证的进攻者的远程控制进攻。

网络黑客能够将 crafted payload 推送到易受进攻的网站,并在软件内开启系统漏洞。

另外,假如网站数据信息库包括名叫“admin" 的客户,进攻者则得到对该客户的浏览管理权限,而且具备对该网站的 full administrator rights。

据统计,WebARX 的科学研究工作人员在 2 月 6 日发觉该系统漏洞,并于当日将其汇报给开发设计工作人员。

10 天之后,ThemeGrill 公布修补系统漏洞的新版本本 1.6.2。在编写文中时,修复后的软件免费下载数大概为 23000,这说明应用 ThemeGrill Demo Importer 软件的大多数数网站将会仍处在风险中。

截止现阶段,它是2020年被公布的 WordPress 软件中的第二个系统漏洞,它将会容许进攻者消除网站数据信息库。

就在上一月,Wordfence 精英团队在 WP Database Reset 软件中发觉相近难题,而该软件已安裝在 80000 好几个网站在。

依据 ZDNet 的报导,2020年早已发觉 3 起非常值得留意的 WordPress 系统漏洞:

1.GDPR Cookie Consent 软件中储存的跨站点系统漏洞,有超出 700000 个网站应用;

2.Code Snippet 软件中 CSRF-to-RCE 系统漏洞,有超出 200000 个网站应用;

3.InfiniteWP 软件中真实身份认证绕开系统漏洞,有超出 300000 个网站应用。

关心我并分享此一篇文章,私聊我“领到材料”,就可以完全免费得到InfoQ使用价值4999元迷你型书!

(责任编辑:admin)
织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
无法在这个位置找到: ajaxfeedback.htm
栏目列表
推荐内容


扫描二维码分享到微信