以下由WordPress教學專欄為大家介紹關於三種WordPress外掛程式中發現高危險漏洞的狀況,希望對需要的朋友有幫助!
研究人員在三種WordPress外掛程式中發現高風險漏洞
#近日,WordPress安全公司Wordfence的研究人員發現一項嚴重的漏洞,它可以作用於三種不同的WordPress插件,並已影響超過84000個網站。此漏洞的執行程式碼被追蹤為CVE-2022-0215,是一種跨站請求偽造(CSRF) 攻擊,通用安全漏洞評分系統(CVSS)對其給予8.8的評分。
2021年 11 月 5 日,Wordfence 公司情報團隊第一次在Login/Signup Popup插件中發現這個漏洞並啟動揭露程序 。幾天後他們又在Cart Woocommerce (Ajax)插件與Waitlist Woocommerce (Back in stock notifier)插件中發現了相同的漏洞。透過這個漏洞攻擊者只要欺騙網站管理員執行一個動作就可以更新在受攻擊網站上的任意網站選項。
攻擊者通常會製作一個觸發 AJAX 操作並執行該功能的請求。如果攻擊者能夠成功誘騙網站管理員執行諸如單擊連結或瀏覽到某個網站之類的操作,而管理員已通過目標網站的身份驗證,則該請求將成功發送並觸發該操作,該操作將允許攻擊者更新該網站上的任意選項。
攻擊者可以利用該漏洞將網站上的「users_can_register」(即任何人都可以註冊)選項更新為確定,並將「default_role」設定(即在部落格上註冊的用戶的預設角色)設定為管理員,那麼他就可以在受攻擊的網站上註冊為管理員並完全接管它。
Wordfence團隊報告的影響Xootix維護的三個外掛:
Login/Signup Popup外掛程式(超過20000 次安裝)
Side Cart Woocommerce(Ajax)外掛程式(超過4000 次安裝)
Waitlist Woocommerce (Back in stock notifier)外掛程式(超過60000 次安裝)
這三個XootiX外掛程式設計的初衷旨在為WooCommerce 網站提供增強功能。 Login/Signup Popup 外掛程式允許新增登入和註冊彈出視窗到標準網站和執行WooCommerce外掛程式的網站。 Waitlist WooCommerce 外掛程式允許新增產品等待清單和缺貨項目通知。 Side Cart Woocommerce 外掛程式透過 AJAX 提供支援使網站上的任何地方使用都可以使用購物欄。
對於這項漏洞,Wordfence 團隊特別提醒WordPress用戶必須檢查其網站上運行的版本是否已更新為這些插件可用的最新修補版本,即Login/Signup Popup插件2.3 版,Waitlist Woocommerce插件2.5 .2 版”,以及Side Cart Woocommerce 外掛2.1 版。
參考來源:
https://securityaffairs.co/wordpress/126821/hacking/wordpress-plugins-flaws -2.html
以上是這幾個WordPress外掛存在高危險漏洞!的詳細內容。更多資訊請關注PHP中文網其他相關文章!
