前不久，WebARX 安全性企业在官方网站公布，WordPress 中一款名叫 ThemeGrill Demo Importer 的软件存有重特大 bug，它容许给没经真实身份认证的客户出示管理方法员权利。

一旦进攻者以管理方法员真实身份登陆，他就可以将网站全部数据信息库复原为默认设置情况。

现阶段，这一软件早已被安裝在超出 200000 个网站在。据 WebARX 表明，该系统漏洞危害 1.3.4 和 1.6.1 版本号中间的全部 ThemeGrill Demo Importer 软件。

依据 WordPress 官方网软件储存库的统计分析数据信息说明，最关键的应用版本号是 1.4 到 1.6，占有当今软件安裝数量的 98% 之上。

假如系统漏洞黑客攻击者运用，不良影响十分比较严重。

据了解，ThemeGrill Demo Importer 软件由 ThemeGrill 开发设计，它能让网站全部者在自身的 ThemeGrill 主题风格中导进 demo 內容，进而得到实例并迅速地构建网站。

在昨日公布的一份汇报中，WebARX 表明，年久版本号的 ThemeGrill Demo Importer 非常容易遭受没经真实身份认证的进攻者的远程控制进攻。

网络黑客能够将 crafted payload 推送到易受进攻的网站，并在软件内开启系统漏洞。

另外，假如网站数据信息库包括名叫“admin" 的客户，进攻者则得到对该客户的浏览管理权限，而且具备对该网站的 full administrator rights。

据统计，WebARX 的科学研究工作人员在 2 月 6 日发觉该系统漏洞，并于当日将其汇报给开发设计工作人员。

10 天之后，ThemeGrill 公布修补系统漏洞的新版本本 1.6.2。在编写文中时，修复后的软件免费下载数大概为 23000，这说明应用 ThemeGrill Demo Importer 软件的大多数数网站将会仍处在风险中。

截止现阶段，它是2020年被公布的 WordPress 软件中的第二个系统漏洞，它将会容许进攻者消除网站数据信息库。

就在上一月，Wordfence 精英团队在 WP Database Reset 软件中发觉相近难题，而该软件已安裝在 80000 好几个网站在。

依据 ZDNet 的报导，2020年早已发觉 3 起非常值得留意的 WordPress 系统漏洞：

1.GDPR Cookie Consent 软件中储存的跨站点系统漏洞，有超出 700000 个网站应用；

2.Code Snippet 软件中 CSRF-to-RCE 系统漏洞，有超出 200000 个网站应用；

3.InfiniteWP 软件中真实身份认证绕开系统漏洞，有超出 300000 个网站应用。

关心我并分享此一篇文章，私聊我“领到材料”，就可以完全免费得到InfoQ使用价值4999元迷你型书！