安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
WordPress评论插件中的Flaw可代码注入
2020-05-19 20:07:14 【

WordPress的WP Product Review Lite插件中最近解决的一个漏洞可能被未经身份验证的攻击者滥用来入侵网站。

WP Product Review Lite设计用于在WordPress网站上创建产品评论。它支持创建顶级产品评论小部件,还可以通过在帖子中添加“立即购买”按钮来获利。该插件有40,000多个安装。

上周,该插件背后的开发人员团队解决了一个未经身份验证的持久跨站点脚本(XSS)漏洞,该漏洞可能已被利用来向网站的所有产品页面中注入代码。

Sucuri安全研究人员解释说,这个问题是,尽管所有用户输入数据都已清除,但如果攻击者在HTML属性内设置参数,则可以绕过所用的WordPress功能之一。

研究人员解释说:“成功的攻击导致恶意脚本被注入到该站点的所有产品中。”

Sucuri警告说,无需身份验证即可发起攻击,这意味着威胁参与者可以自动进行攻击。这使得网络罪犯很容易对大量易受攻击的网站发起攻击。

Sucuri的研究人员指出:“活动安装的数量,易于利用以及成功攻击的后果,使此漏洞特别危险。”

Sucuri于5月13日报告了此漏洞,并于第二天发布了WP Product Review Lite 3.7.6版本的补丁程序。

尽管未观察到主动利用尝试,但安全研究人员建议站点管理员尽快升级到修补版本,因为该插件的较旧版本仍然容易受到攻击和潜在的危害。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇什么是DDoS攻击?什么是CC攻击?.. 下一篇游戏行业DOS攻击无处不在的,要怎..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800