再中招!流行 WordPress 插件发现严重 SQL 注入漏洞

最新推荐文章于 2020-12-12 08:35:21 发布
最新推荐文章于 2020-12-12 08:35:21 发布
阅读量218 收藏 1
点赞数
文章标签: php 数据库
原文链接:https://yq.aliyun.com/articles/111169
版权

一个安装量超过 100 万的流行 WordPress 插件发现了严重 SQL 注入漏洞,允许攻击者从网站的数据库窃取密码和密钥等敏感数据。

该插件叫NextGEN Gallery,开发者已经修复了该漏洞,释出了 v2.1.79 版,安装该插件的网站应该尽可能快的更新。网站如果允许用户递交帖子,并且激活了 NextGEN Basic TagCloud Gallery 选项,允许访问者通过标签导航图库,攻击者可以修改 URL 参数,插入 SQL 查询指令,加载恶意链接时插件将会执行指令。

该漏洞是因为对 URL 参数不正确的输入处理导致的,这种问题在 WordPress 以及非 WordPress 网站中间非常普遍。

本文来自开源中国社区 [http://www.oschina.net]

weixin_34121304
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WordPress Poll插件多个SQL注入漏洞
weixin_30904593的博客
02-05 116
漏洞名称: WordPress Poll插件多个SQL注入漏洞 CNNVD编号: CNNVD-201301-626 发布时间: 2013-02-04 更新时间: 2013-02-04 危害等级: 漏洞类型: SQL注入 威胁类型: 远程 CVE编号: 漏洞来...
流行WordPress SEO插件曝高危SQL注入漏洞
weixin_34161064的博客
09-01 707
最新消息,全球最流行的CMS应用WordPress插件WordPress SEO by Yoast曝高危SQL注入漏洞,该插件使用频率相当高,用户高达可达千万。 漏洞简述 WordPress SEO by Yoast插件WordPress平台下非常流行的SEO插件,看其在Yoast网站上高达1400万次的下载量就知道了。 该漏洞WordPress漏...
[wordpress插件推荐]SQL Executioner插件使用sql语句修改数据库
有技术的机械师
08-11 1038
我们在维护wordpress的时候,有时候可能会
wordpress漏洞_多个WordPress插件SQL注入漏洞分析
weixin_39702714的博客
12-12 652
背景SQL注入漏洞是用来构建SQL查询的用户输入未经适当处理导致的漏洞。比如:图1: 使用WordPressSQL查询示例从上面的代码来看,其中存在SQL注入攻击漏洞,因为从$_GET中提取的$_id在传递给SQL查询时没有经过任何处理。在最新的WordPress版本中,默认会在$_POST/$_GET/$_REQUEST/$_COOKIE中加入了magic quotes。这可以帮助...
WordPress插件SQL注入漏洞——漏洞复现
W小哥
11-25 8047
复现过程 环境地址:https://www.mozhe.cn/bug/detail/S0JTL0F4RE1sY2hGdHdwcUJ6aUFCQT09bW96aGUmozhe 访问目标网站 常规工具AWVS扫描是扫不出来漏洞的 第一步识别CMS vulnx -u http://219.153.49.228:47712/ --cms wpscan --url http://219.153.49.228:47712/ 给API的token才能将结果输出 ...
电子工程师常犯错误大全,看看你有没有中招
07-18
是人就会犯错,何况是工程师呢?虽然斗转星移,工程师们却经常犯同样的错误!下面,就请各位对号入座,看看自己有没有中招
迅雷承认传播恶意插件数千万电脑手机中招.doc
10-03
恶意插件事件:迅雷承认传播恶意插件数千万电脑手机中招 摘要:迅雷公司承认其子公司迅雷看看 manufactures恶意插件,影响数千万用户的电脑和手机。插件被证实其内置后门,并使用类似云指令的技术来强制干扰和修改...
南阳中招成绩批量快速查询
08-11
南阳中招成绩批量查询软件简介 本软件可批量查询南阳中招成绩,用于快速批量查询,统计学生成绩。 使用范围,县区教研室、乡镇中心校、各级初中,机构、班主任。 每秒可快速查一个学生成绩。 使用说明: 1、从自动...
最新签加盟奶茶店合同需要注意什么签合同要注意的“小细节”,以后别再中招了!DOC版式文档.docx
09-12
最新签加盟奶茶店合同需要注意什么签合同要注意的“小细节”,以后别再中招了!DOC版式文档.docx
河南省网上中招操作计划流程
06-28
河南省网上中招操作计划流程
wordpress被攻击之后的一些总结
卓立的博客
08-14 2518
今天早晨在在公司打开电脑,吃着早饭,翻着自己之前写的一篇文章,回到主页时发现,出现了很多英文的发布(乱七八糟的内容),第一反应就是被攻击了,赶紧到仪表盘去看一下,发现这时候站点所有的url都已经无法访问了。 我的这个个人站点是部署在一个虚拟主机上的,所以我赶紧去运营商的控制台检查一下。到了我也很茫然,因为我对php一无所知。好在控制台看到了phpMyAdmin,之前都没注意到这个东西的存在==。...
wordpress管理的网站被入侵篡改文章
HPF_99的博客
03-10 434
登上网站查看某篇文章的时候出来问题,一进去就会被跳转到其他网站,自己的页面查看不了。 这时候想过恢复之前在服务器备份下来的文件,备份之后发现问题还是没有解决。所以改的地方应该是在数据库,由于数据库之前没有备份(网站一定要备份数据库),所以只能想其他办法,到底是哪些地方被改了。 这时候点了篇文章进去看,发现多了一些之前没有的东西,如图: 原因找到了,删除就行。 建议所有的管理员密码都设复杂一点,不...
WordPress漏洞之————SQL注入漏洞与提权分析
Fly_鹏程万里
03-30 5954
威胁响应中心研究员对Wordpress核心功能SQL注入漏洞(编号为CVE-2015-5623和CVE-2015-2213)进行了详细的分析 0x00 漏洞概述 在twitter上看到Wordpress核心功能出现SQL注入漏洞,想学习下,就深入的跟了下代码,结果发现老外留了好大的一个坑。虽然确实存在注入问题,但是却没有像他blog中所说的那样可以通过订阅者这样的低权限来触发SQL注入漏洞...
wordpress快速删除重复文章的SQL语句
weixin_43446375的博客
10-15 245
DELETE a.* FROM wp_posts AS a INNER JOIN ( SELECT post_title, MIN( id ) AS min_id FROM wp_posts WHERE post_type = 'post' AND post_status = 'publish' GROUP BY post_title HAVING COUNT( * ) > 1 ) AS b ON b.post_title = a.post_title AND b.min_id <> a.
WordPress统计分析插件WP Statistics出现SQL注入漏洞 攻击者可窃取用户数据
weixin_34150830的博客
09-01 813
安全研究员在WP Statistics插件发现了一个缺陷,可使黑客貌似合理地窃取数据库,甚至远程劫持网站。该插件是一个非常流行WordPress插件,用于超过30万个网站上。利用WP Statistics插件,网站管理员可查明网站信息,包含实时在线用户数量,网页统计和访客数量。 WP Statistics插件SQL注入漏洞 Sucuri公司的安全研究...
实战演示黑客如何利用SQL注入漏洞攻破一个WordPress网站
你好,旧时光!
01-03 1867
实战演示黑客如何利用SQL注入漏洞攻破一个WordPress网站 发表在 技术技巧 | 4条评论 前几天微软skype的官方博客网站被黑客突破,虽然很快进行了修复,但从网友截屏的图片来看,应该一些抗议美国国安局监听行为和反对微软在软件里隐藏后门的黑客所为。微软skype的官方博客使用的是WordPress平台,Wordpress目前是世界上最流行的博客平台,市场占有率高达70%,这次
wordpress注入_WordPress SQL注入–最新攻击
cumohuo9136的博客
09-17 2261
wordpress注入A lot of sites are being hit by a recent SQL attack where codes are being injected to your site. This MySQL injection affects your permalinks by making them ineffective. As a result, your b...
wordpress 注入恶意代码漏洞利用与修复方案
网站安全资讯
09-16 1015
撸了今年阿里、头条和美团的面试,我有一个重要发现.......>>> ...
解释如下代码:r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText","哈哈哈!你中招了!你的电脑要无了!哈哈哈哈哈!!!"
最新发布
05-16
中招了!你的电脑要无了!哈哈哈哈哈!!!" 写入到了注册表路径 `HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText` 对应的键值中。 这个键值是用来显示在登录界面上的法律声明文本,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值