最新WordPress插件漏洞,影响超过700万个网站

最新推荐文章于 2024-06-18 16:40:54 发布
最新推荐文章于 2024-06-18 16:40:54 发布
阅读量520 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w3cschools/article/details/114989794
版权

研究人员已经披露了多个WordPress插件中的漏洞,如果成功利用这些漏洞,则攻击者可以在某些情况下运行任意代码并接管网站。

这些缺陷已在Elementor(一个用于超过700万个网站的网站构建器插件)和WP Super Cache(用于服务WordPress网站的缓存页面的工具)中发现。

据国际知名白帽黑客、东方联盟创始人郭盛华透露:该错误与一组存储的跨站点脚本(XSS)漏洞(CVSS评分:6.4)有关,该漏洞是在将恶意脚本直接注入易受攻击的Web应用程序时发生的。

在这种情况下,由于在服务器端缺乏对HTML标记的验证,不良行为者可以利用这些问题,通过精心设计的请求将可执行JavaScript添加到帖子或页面中。

郭盛华在一份技术文章中说: “由于贡献者创建的帖子通常在发布之前由编辑或管理员进行审核,因此添加到其中一个帖子中的任何JavaScript都将在审阅者的浏览器中执行。如果管理员审阅了包含恶意JavaScript的帖子,则可以使用其具有高级别特权的经过身份验证的会话来创建新的恶意管理员,或为网站添加后门,对该漏洞的攻击可能导致网站被接管。”

发现多个HTML元素(如标题,列,手风琴,图标框和图像框)容易受到所存储的XSS攻击,从而使任何用户都可以访问Elementor编辑器并添加可执行的JavaScript。

鉴于这些缺陷利用了以下事实:可以利用模板中输入的动态数据来包含旨在发动XSS攻击的恶意脚本,因此可以通过验证输入并转义输出数据来阻止此类行为,以便HTML标记作为输入变得无害。

另外,在WP Super Cache中发现了一个经过身份验证的远程代码执行(RCE)漏洞,该漏洞可能允许攻击者上传和执行恶意代码,以期获得对该站点的控制权。据报道,该插件已在超过200万个WordPress网站上使用。

在2月23日进行负责任的披露之后,Elementor通过强化“允许在编辑器中执行更好的安全策略的选项”,修复了3月8日发布的3.1.4版本中的问题。同样,WP Super Cache背后的开发人员Automattic表示,它解决了1.7.2版中的“设置页面中经过身份验证的RCE”。

强烈建议插件的用户更新到最新版本,以减轻与漏洞相关的风险。(欢迎转载分享)

w3cschools
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wordpress 评论插件 wpDiscuz 任意文件上传漏洞分析1
08-03
WordPress 是一款广泛使用的开源内容管理系统,而 wpDiscuz 是一个流行的评论插件,它为 WordPress 网站提供了丰富的交互式评论功能。然而,如同任何软件一样,wpDiscuz 也可能存在安全漏洞,对网站构成威胁。本文将...
第二十二课wordpress插件漏洞演示.ppt
02-22
网络攻防相关,欢迎下载。网络攻防相关,欢迎下载。网络攻防相关,欢迎下载。网络攻防相关,欢迎下载。网络攻防相关,欢迎下载。
漏洞分析 | WordPress Bricks Builder远程代码执行漏洞(CVE-2024-25600)
WangsuSecurity的博客
03-15 1073
WordPress小于1.9.6版本的默认配置中存在远程代码执行漏洞,利用条件简单,影响范围甚广
WordPress Plugin SQL注入漏洞(CVE-2024-25832)
最新发布
2301_80127209的博客
06-18 421
WordPress是一种流行的内容管理系统(CMS),它提供了基本的网站功能,如文章发布、页面管理和用户权限控制等。然而,有时候用户需要更多的功能或特定的定制需求,这时就可以使用WordPress Plugin来实现。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。帮助你在面试中脱颖而出。
2023年11个最佳免费WordPress主题
WP站长
11-23 3552
我们概述了一份可靠的标准清单,您可以使用它来确保您正在考虑的免费WordPress主题是一个可靠的选择。我们还列出了我们认为今年最好的免费WordPress主题。
wordpress 插件_适用于您的网站的2015年顶级WordPress安全插件
culu1614的博客
08-11 984
wordpress 插件WordPress is the most used CMS as compared to any other CMS. The code behind WordPress is very clean, thus the search engines just love WordPress websites and this is one of the main reaso...
wordpress漏洞工具_40个有用的工具来管理和发展您的WordPress博客(已更新)
09-08 745
We are often asked by our users about what tools we use to manage and grow our WordPress blogs. We have listed some of them in our WPBeginner Blueprint, but there are some more that we use on our diff...
应用软件漏洞利用分布
securitypaper的博客
10-27 713
Adobe 公司在 2005 年收购 Flash,并大力推广应用使其一度是漏洞挖掘人员的研究焦点,根据图 3.4 的历史数据可以看到,2015 和 2016 年爆出的漏洞总数占据整体数量的 55.09%。在 Hacking Team 泄 露 CVE-2015-5122 和 CVE-2015-5199 这两个 0day 漏洞之后,更是给漏洞利用带来了通用的模板 1,但 之后随着 Adobe 引入了隔离堆、Vector 长度检测、CFG保护等安全机制,Flash 漏洞利用的门槛被加 大了很多。 图 3.4 FL
Web安全研究(八)
至臻求学,胸怀云月
05-05 1022
S&P 2021石溪大学攻击者依赖于恶意的bot发现易受攻击的网站,并入侵服务器泄漏用户数据。因此了解恶意的bot相当重要。作者设计了Aristaeus,用于部署大量蜜罐网站的系统,专门吸引和记录僵尸流量而存在的网站。每月都收到超过37k的请求数据,且超过一般都是请求试图暴力破解凭证,进行指纹识别,以及利用大量不同的漏洞。比较tls与ua头发现86.2%的bot都声称自己是chrome和firefox,但其实基于简单的http和命令行工具。
模糊测试--强制性安全漏洞发掘
WangPo292753522的专栏
01-13 1万+
文档分享地址链接:链接:http://pan.baidu.com/s/1dDeROHj 密码:o15z 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序,包括Microsoft的Internet Explorer、W
[转]信息安全相关理论题(四)
热门推荐
Herry_Lee的专栏
02-18 3万+
26、____表示邮件服务器返回代码为临时性失败(xx代表任意数)。 A、 2xx B、 3xx C、 4xx D、 5xx 您的答案: 标准答案: C 27、买家称购买商品异常后的正确操作是立即咨询官方客服。 A、 正确 B、 错误 您的答案: 标准答案: A 28、网上陌生人给你发送补丁文件正确的操作是不下载文件。 A、 错误 B、 正确 您的答...
RSAC简介 RSAC 2020 最热门的36款网络安全产品
whatday的专栏
02-26 5369
美国时间2月24日至28日,RSA Conference 2020(RSAC2020)信息安全大会将在旧金山Moscone Center召开。此次会议参会人数预计达5万+,参展商达700多家,大会包含:研讨会、沙箱创新大赛、培训和教程、主题演讲、课堂等多种不同的活动。 从1991年成立至今,RSAC已成功召开29届,RSA信息安全大会对全球信息安全建设起着不可或缺的作用,它提供了安全市场中竞争对...
wordpress网站微信\QQ客服插件
01-29
一个付费插件,给大家分享一下,后台设置简单,安装好后,设置QQ号,上传微信二维码即可.前台自动飘浮!
WordPress插件:关注微信公众号获得验证码涨粉插件
07-06
WordPress后台,我们需要下载插件,而后通过上传的方式启用这款插件插件安装完成后进入后台文章编辑文本模式下可以看到有一个“插入微信隐藏标签”的按钮,选中需要隐藏的图文内容,然后点击该按钮则会自动为你...
WordPress插件】2022年最新版完整功能demo+插件.zip
04-07
"【WordPress插件】2022年最新版完整功能demo+插件 Socca – Football Team & Sports Club Elementor Template Kit Socca - 足球队和体育俱乐部元素模板套件" ---------- 泰森云每天更新发布最新WordPress主题、...
wordpress 20个热门付费插件【2021年最新版】.zip
09-08
本文将深入探讨“wordpress 20个热门付费插件【2021年最新版】”中包含的几款核心插件,包括它们的功能、应用场景以及对WordPress网站性能的影响。 1. **js_composer**:这是一款强大的前端和后端页面构建器,允许...
WordPress插件】2022年最新版完整功能demo+插件v1.1.9.zip
03-29
"【WordPress插件】2022年最新版完整功能demo+插件v1.1.9 WP Content Pilot Pro - Best WordPress Autoblog & Affiliate Marketing Plugin WP Content Pilot Pro - Best WordPress AutoBlog&Affiliate Marketing ...
wp-plugin-vulnerabilities:WordPress插件漏洞集合
05-16
wp-plugin漏洞WordPress插件漏洞的标准化集合。 用于此目的的数据已从WordPress.org存储库中的“”插件中提取,并以标准的YAML格式存储。 这些开发人员已为此YAML提供了所有原始源数据,我们所做的只是从PHP源代码中...
写一个wordpress插件
08-25
如果你想写一个WordPress插件,那么首先你需要了解一些WordPress的基础知识,并对PHP语言有一定的了解。 以下是一个简单的WordPress插件示例代码: ``` <?php /* * Plugin Name: My First WordPress Plugin * Plugin URI: http://example.com/ * Description: This is my first WordPress plugin. * Version: 1.0 * Author: John Doe * Author URI: http://example.com/ * License: GPLv2 or later */ function my_first_plugin_function() { echo "Hello World!"; } add_action( 'wp_footer', 'my_first_plugin_function' ); ``` 把这段代码保存在一个`.php`文件中,并上传到您的WordPress站点的插件目录(`wp-content/plugins`),接下来在WordPress后台启用插件,就可以看到“Hello World!”了。 当然,这仅仅是一个简单的示例,如果想开发一个复杂的WordPress插件,您需要更深入地了解WordPress插件开发方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值