據zdnet報道,wordPress/ target=_blank class=infotextkey>WordPress的兩個插件 InfiniteWP Client和 WP Time Capsule被曝出現嚴重的安全漏洞,估計有 32 萬個網站容易被利用攻擊。
這兩個插件被用于在一服務器上管理多個WordPress網站,并在發布更新時為文件和數據庫條目創建備份。WebArx的網絡安全研究人員發現,代碼中存在邏輯問題,允許他人無需密碼即可登錄管理員帳戶。
根據WordPress插件庫數據,InfiniteWP活躍在超過300, 000 個網站,而WP Time Capsule在至少活躍在20, 000 個網站上。
周二,研究小組表示,影響InfiniteWP 1.9.4. 5 以下版本的邏輯問題意味著,使用 JSON 和 Base64 編碼的 POST 請求有效負載可以繞過密碼請求,只需知道管理員的用戶名即可登錄。
而在1.21. 16 以下的WP Time Capsule版本中,函數行中的問題可以通過在原始POST請求中添加一個精心設計的字符串來調用一個函數,該函數獲可取所有可用的管理員帳戶,并作為列表中的第一個管理員登錄。
1 月 7 日,WebArx 向這兩款插件的開發者報告了這些漏洞,開發者迅速作出反應,并在一天后發布軟件更新。Webarx建議網站管理員盡快安裝更新避免遭受攻擊,因為防火墻保護將不起作用。
