WordPress再曝流行插件漏洞 影响上千万网站

  1. 云栖社区>
  2. 博客>
  3. 正文

WordPress再曝流行插件漏洞 影响上千万网站

云栖大讲堂 2017-09-01 14:00:00 浏览1138
展开阅读全文

WordPress的一个最为流行的插件现重大安全漏洞,导致上千万网站面临黑客入侵的危险。

WordPress再曝流行插件漏洞 影响上千万网站

该漏洞由WordPress漏洞扫描器的开发者瑞恩·迪赫斯特(Ryan Dewhurst)发现,该插件名为“WordPress SEO by Yoast”,用于网站的搜索引擎优化,是最流行的WordPress插件之一,目前下载量已超过1400万,所有在1.7.3.3及以前的版本均可被SQL盲注攻击。

该漏洞存在于admin/class-bulk-editor-list-table.php文件中,只有管理员、编辑和作者等授权用户可访问。因此,攻击者需通过社会工程的手段欺骗授权用户点击特殊构造的链接才能激发漏洞利用程序。之后,漏洞利用程序会在受害者的网站上执行SQL查询代码。

瑞恩发布了一段利用此漏洞的SQL盲注概念验证代码:

WordPress再曝流行插件漏洞 影响上千万网站

该插件的开发者在博客中声称,已经在最新版1.7.4中打上补丁。建议WordPress的网站管理者立刻更新到该插件的最新版本,如果你的WordPress为3.7版本及以上,可按照以下路径执行插件自动更新:

Manage > Plugins & Themes > Auto Updates

作者:Recco


来源:51CTO


网友评论

登录后评论
0/500
评论
云栖大讲堂
+ 关注