• 17630273926
严重漏洞攻击WordPress广告插入程序
作者:郑州云优化 / 2019-11-12 16:35 / 浏览次数:
严重漏洞攻击WordPress广告插入程序
广告插入器是一种流行的广告管理WordPress插件,被发现包含一个严重漏洞。该漏洞允许低至订阅者的经过身份验证的用户在受影响的网站上执行代码。建议该插件的用户立即更新。
广告插入程序漏洞描述
实际上有两个漏洞。
认证路径遍历漏洞
第一个漏洞称为身份验证路径遍历漏洞。此插入漏洞存在于广告插入器2.4.19及更低版本中。
这是一种利用方式,攻击者可以通过向URL添加变量(例如../)来访问网站区域。这使攻击者可以“遍历”可能允许他们执行代码或查看私人信息的区域。
根据美国国土安全部维护的网站上关于遍历漏洞的CommonWeaknessEnumeration(CWE)网站,这是遍历漏洞的工作方式:
“该软件使用外部输入来构造路径名,该路径名旨在标识位于受限制的父目录下的文件或目录,但是该软件未正确中和该路径名中的特殊元素,这些特殊元素可能导致该路径名解析为某个位置在受限目录之外。”
第二个漏洞被标记为严重。WordFence团队于7月12日星期五发现了该漏洞,并于第二天即2019年7月13日星期六由AdInserter迅速修复了该漏洞。
经过身份验证的远程执行代码
第二个漏洞称为身份验证远程代码执行(RCE)。这允许在网站上注册且权限低至订阅者的任何用户都可以在WordPress安装上执行任意代码。
RCE漏洞会影响广告插入程序2.4.21及更低版本。
根据WordFence网站:
“在7月12日,星期五,我们的威胁情报小组发现了广告插入器中存在的漏洞,该广告插件是安装在200,000多个网站上的WordPress插件。该弱点允许经过身份验证的用户(订户和更高版本)使用该插件在网站上执行任意PHP代码。
我们已将该问题私下披露给了插件的开发人员,后者在第二天发布了补丁。
这被认为是至关重要的安全问题……”
广告插入程序插件反应迅速且符合道德规范
几乎所有插件和软件都可能包含漏洞。重要的是开发人员对问题的响应速度以及开发者对此问题的透明度。
广告插入器WordPress插件Changelog广告插入程序变更日志的屏幕截图,显示了他们以道德和透明的方式回应。
广告插入程序团队的响应速度之快和更新的透明性值得称赞。广告插入器通过每个用户的更新页面上可见的变更日志,向用户警告该漏洞。这很重要,因为它会提醒用户更新的紧迫性。
广告插入器团队的行为迅速而合乎道德。这是任何WordPress开发人员都可以期待的最好的结果。
更新广告插入器
强烈建议所有广告插入器WordPress插件用户登录其WordPress安装并更新其广告插入器插件。
在此处阅读WordFence公告。
【郑州云优化】郑州SEO、网站建设、网站设计、服务器空间租售、网站维护、网站托管、网站优化、百度推广、自媒体营销、微信公众号
如有意向---联系我们
热门栏目
热门资讯
热门标签

网站建设 网站托管 成功案例 新闻动态 关于我们 联系我们 服务器空间 加盟合作 网站优化

备案号:ICP备*********号 网站地图/sitemap 

公司地址:河南省郑州市郑州云优化 咨询QQ:1774525808 手机:17630273926 电话:17630273926