宁德生活圈

网站首页 科技 > 正文

严重的WordPress插件错误使数千个网站处于危险之中

2021-08-26 14:47:42 科技 来源:

在一个流行的认证绕过漏洞WordPress插件允许攻击者接管完全控制的WordPress -Powered的电子商务网站,研究人员发现。该Wordfence威胁情报小组发现了助推器的漏洞WooCommerce WordPress插件,它拥有超过10万的网站的用户群。

Booster 插件提供了 WooCommerce 插件中可用的 100 多项功能,可帮助在WordPress 安装上设置电子商务商店。

Wordfence 的 Chloe Chamberland写道:“只要插件中启用了某些选项,这个缺陷就可以让攻击者以任何用户的身份登录。”

Chamberland 的 CVSS 得分为 9.8,他解释说该漏洞存在于插件的电子邮件验证模块中。该模块要求用户在网站上注册后验证他们的电子邮件。

但是,该模块没有执行必要的安全检查,这使得攻击者可以以任何用户身份发送虚假验证请求,并且基本上能够使用伪造的身份登录。

“因此,攻击者可以利用此漏洞获得对运行易受攻击版本插件的站点的管理访问权限,并有效地接管该站点,”Chamberland 解释道。

该插件的补丁版本已经发布,Wordfence 敦促插件用户立即升级到最新版本。


版权说明: 本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。


标签:

最新文章
热评文章
随机文章