WordPress InfiniteWP Client和 WP Time Capsule插件現嚴重的安全漏洞

1月16日 消息:據zdnet報道,WordPress的兩個插件 InfiniteWP Client和 WP Time Capsule被曝出現嚴重的安全漏洞,估計有 32 萬個網站容易被利用攻擊。

這兩個插件被用于在一服務器上管理多個WordPress網站,并在發布更新時為文件和數據庫條目創建備份。WebArx的網絡安全研究人員發現,代碼中存在邏輯問題,允許他人無需密碼即可登錄管理員帳戶。

根據WordPress插件庫數據,InfiniteWP活躍在超過300, 000 個網站,而WP Time Capsule在至少活躍在20, 000 個網站上。

周二,研究小組表示,影響InfiniteWP 1.9.4. 5 以下版本的邏輯問題意味著,使用 JSON 和 Base64 編碼的 POST 請求有效負載可以繞過密碼請求,只需知道管理員的用戶名即可登錄。

而在1.21. 16 以下的WP Time Capsule版本中,函數行中的問題可以通過在原始POST請求中添加一個精心設計的字符串來調用一個函數,該函數獲可取所有可用的管理員帳戶,并作為列表中的第一個管理員登錄。

1 月 7 日,WebArx 向這兩款插件的開發者報告了這些漏洞,開發者迅速作出反應,并在一天后發布軟件更新。Webarx建議網站管理員盡快安裝更新避免遭受攻擊,因為防火墻保護將不起作用。

0

發表評論

熱線電話
淘寶官店
QQ客服
  • 176363189 點擊這里給我發消息
旺旺客服
  • 速度網絡服務商 點這里給我發消息
微信客服
  • wwwmai0net
回到頂部
2019年开奖记录,手机版