“安全研究人员说这些插件可能会使40万个WordPress网站面临风险”

估计有50，000多个wordpress插件，插件下载总数超过12亿5，000万个。 但是，并非所有插件都相同。 安全研究者最近发现了插件的漏洞。 这些漏洞可能会影响40万个以上基于wordpress的网站。 这些漏洞位于infinitewp、WP时间捕捉和WP数据库重置插件中。 幸运的是，攻击者没有发现这些漏洞。

使用至少300，000个infinite WP客户端插件的客户可能受到特别严重的漏洞影响。 需要监视多个网站的管理员会采用这个插件。 攻击者知道网站管理员的顾客名，在通过开机自检请求发送到易受攻击的网站之前，使用json和base64对恶意负载进行编码即可。 攻击者无需密码即可登录并获得控制权。 这个网站。

之所以存在此漏洞，是因为插件没有许可证检查。 如果infinite WP客户端的版本很高，为1.9.4.4，则插件客户需要尽快将站点更新为1.9.4.5版，从而更容易受到攻击。

由于wp time capsule插件的漏洞，至少20，000个站点容易受到攻击者的攻击。 这个插件用于备份文件，讽刺的是，它可以让您放心。 与infinite WP客户端漏洞一样，攻击者可以通过在开机自检请求的正文中包含特定字符串来自动以管理员身份登录。 此漏洞已在1.21.16版中修复，客户也必须立即更新插件。

最后一对漏洞会影响大约80，000个使用WP数据库重置插件的站点。 这个插件可以帮助客户将数据库或数据库的一部分重置为默认设置。 插件最初不包含适当的安全检查。 漏洞可以使攻击者重置任何表，从而损害数据的可用性。 另一个漏洞允许任何读者完全控制站点并赶走所有管理员。 幸运的是，这两个缺陷在3.15版中得到了修复。 当然，安全研究人员鼓励客户经常备份他们的站点。 在这里，可以看到魔兽世界安全研究公司魔兽世界警报的详细新闻。

在其他安全信息中，美国国家安全局( nsa )最近发现了一个叫做curveball的微软windows漏洞。 这是因为野外发生了多个漏洞。 这个漏洞会影响cryptoapi，允许攻击者发起中间人( mitm )攻击或伪造签名。 这个漏洞在最新的修补程序周二的更新中被修复了。 像往常一样，我们建议您尽快、经常地修补和更新所有软件。

本文：《“安全研究人员说这些插件可能会使40万个WordPress网站面临风险”》