未加星标

WordPress禁用10个危险插件

字体大小 | |
[业界资讯 所属分类 业界资讯 | 发布者 店小二04 | 时间 | 作者 红领巾 ] 0人收藏点击收藏
WordPress禁用10个危险插件

Woo电子商务网站提供的10个WordPress插件存在漏洞,这些插件均由同一家公司Multidots为WOO网站提供。因开发者尚未发布补丁程序,而Woo网站的插件被许多高流量网站使用,所以WordPress禁用了危险插件。


WordPress禁用10个危险插件

Woo电子商务网站提供的10个WordPress插件存在漏洞,这些插件均由同一家公司Multidots为WOO网站提供。因开发者尚未发布补丁程序,而Woo网站的插件被许多高流量网站使用,所以WordPress禁用了危险插件。以下是危险插件的信息:


WooCommerce Category Banner Management (Active installations: 3,000+) – Unauthenticated Settings Change Add Social Share Messenger Buttons Whatsapp and Viber (Active installations: 500+) – Cross-site Request Forgery (CSRF) Advance Search for WooCommerce (Active installations: 200+) – Stored Cross-site scripting (XSS) Eu Cookie Notice (Active installations: 600+) – Cross-site request forgery (CSRF) Mass Pages/Posts Creator (Active installations: 1,000+) – Authenticated Stored Cross-Site scripting (XSS) Page Visit Counter (Active installations: 10,000+) – SQL Injection WooCommerce Checkout For Digital Goods (Active installations: 2,000) – Cross-site request forgery (CSRF) WooCommerce Enhanced Ecommerce Analytics Integration with Conversion Tracking (Active installations: 1,000+) – Cross-site request forgery (CSRF) and Stored Cross-site scripting (XSS) WooCommerce Product Attachment (Active installations: 800+) – Authenticated stored Cross-site scripting (XSS) Woo Quick Reports (Active installations: 300+) – Stored Cross-Site Scripting (XSS)

据ThreatPress报道,安全研究员在10个插件中发现的漏洞类型五花八门。受影响的插件可通过WordPress.org获得,它们允许Woo商城用户管理其在线商店。据统计,易受攻击的插件有将近20,000次主动安装,其中包括10,000次页面访问计数器安装,3,000次WooCommerce类别横幅管理安装以及2,000次数字商品WooCommerce Checkout安装。

经过安全专家研究后发现,Multidots制作的插件受存储的跨站脚本(XSS)、跨站点请求伪造(CSRF)和SQL注入漏洞的影响,这些漏洞可以被用于全方位控制已安装插件的电子商务网站。攻击者可能会破坏网站,执行远程shell,植入键盘记录器,并上传加密货币挖掘程序或其他类型的恶意软件。

考虑到受影响的网站是收集个人和财务信息的在线商店,攻击者或许能够获得富含价值的信息。这些漏洞允许未经身份验证的攻击者注入恶意javascript,从而为劫持客户的信用卡数据并接收客户和管理员登录提供机会。虽然大多数危险情境的实现需要安装插件者访问特质的URL或者页面,但仍有一些漏洞带来的缺陷能在没有任何交互的情况下被利用。

Multidots 5月8日知晓后对存在的问题进行了确认,而后却再无动作。所幸WordPress了解后决定禁用大部分受影响的插件。在ThreatPress公开发布调查结果之前,他们曾与Multidots联系征求意见,但该公司没有回应。

CVE标识符已分配给其中四个漏洞,仍有6个漏洞还没有得到标识符。目前为止,分配的标识符有CVE-2018-11579,CVE-2018-11580,CVE-2018-11633和CVE-2018-11632。

当前每个漏洞的技术细节和概念验证(PoC)代码已被披露。专家表示:“很高兴WordPress的安全反应速度这么快,但我们仍然有一个大问题——难以告知所有用户这些插件的威胁。奇怪的是WordPress能显示可用更新的信息,却不能通过同样的方式提供关于封闭插件的信息以提供保护。我们希望看到这一领域的一些变化。希望在这种情况下,我们可以通知受影响网站的所有者,并保护近2万个网站。”

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

tags: 插件,Active,WordPress,installations,Cross,site,漏洞,网站,XSS,WooCommerce,Woo,CSRF,CVE,Multidots
分页:12
转载请注明
本文标题:WordPress禁用10个危险插件
本站链接:https://www.codesec.net/view/577193.html


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(204)