站长之家首页 > 外闻 > WordPress最新资讯 > 正文

WordPress两个插件存在严重漏洞 或致32万个网站受攻击

2020-01-16 09:22 · 稿源:站长之家

站长之家(ChinaZ.com) 1月16日 消息:zdnet报道,WordPress的两个插件 InfiniteWP Client和 WP Time Capsule被曝出现严重的安全漏洞,估计有 32 万个网站容易被利用攻击。

黑客攻击 安全 代码 安全漏洞 程序员

这两个插件被用于在一服务器上管理多个WordPress网站,并在发布更新时为文件和数据库条目创建备份。WebArx的网络安全研究人员发现,代码中存在逻辑问题,允许他人无需密码即可登录管理员帐户。

根据WordPress插件库数据,InfiniteWP活跃在超过300, 000 个网站,而WP Time Capsule在至少活跃在20, 000 个网站上。

周二,研究小组表示,影响InfiniteWP 1.9.4. 5 以下版本的逻辑问题意味着,使用 JSON 和 Base64 编码的 POST 请求有效负载可以绕过密码请求,只需知道管理员的用户名即可登录。

而在1.21. 16 以下的WP Time Capsule版本中,函数行中的问题可以通过在原始POST请求中添加一个精心设计的字符串来调用一个函数,该函数获可取所有可用的管理员帐户,并作为列表中的第一个管理员登录。

1 月 7 日,WebArx 向这两款插件的开发者报告了这些漏洞,开发者迅速作出反应,并在一天后发布软件更新。Webarx建议网站管理员尽快安装更新避免遭受攻击,因为防火墙保护将不起作用。

网友热搜:

  • 大家在看
  • 相关推荐
  • 赶紧更新!黑客正积极利用多个WordPress插件零日漏洞

    由于WordPress有着大量的用户,也就成为攻击者的目标。据报道,今年 2 月份以来,针对WordPress网站的攻击越来越频繁。几家专门从事WordPress安全产品的网络安全公司,如Wordfence、WebARX和NinTechNet,已经报道了对WordPress站点的攻击数量不断增加。

  • WordPress将为主题和插件添加自动更新功能 有望减少网站遭黑客攻击

    WordPress开发团队正在为主题和插件添加自动更新机制,由于网站运营者安装主题和插件后忘记更新版本,出现漏洞的情况下就容易遭黑客攻击。

  • 2019 年开源软件漏洞增长近 50%,C 语言漏洞占比最高

    ​WhiteSource 通过对 650 多个开发人员进行了调查,并从 NVD(Nartional Vulnerability Database)、安全公告、经过同行评审的漏洞数据库、问题跟踪程序等渠道收集了数据之后,整理发布了一份研究报告。该报告显示,2019 年公开的开源软件漏洞数已激增至 6000 多个,同比增长了近 50%。

  • Android 成去年漏洞最多 OS,20 年来 Debian Linux 漏洞总数最多

    ​TheBestVPN 根据“美国国家标准技术研究院的国家漏洞数据库"公布的数据整理出了一份报告表明,Android 是 2019 年最易受攻击的操作系统,全年共发现了 414 个漏洞。其次是具有 360 个漏洞的 Debian Linux,Windows Server 2016 和 Windows 10 则分别位列第三和第四名。

  • 微软披露全新高危漏洞 Windows 10全部中招

    昨日,微软又披露了一个全新的Windows系统高危漏洞。报道称,该漏洞影响所有受支持的Win10 版本,并且目前被黑客通过“有限的针对性攻击”加以利用。

  • 微软发布3月补丁,修复了115个漏洞

    微软今天发布了 3 月份周二补丁,一共修补了 115 个漏洞,使本月的修补数量成为该公司历史上最大的一次。在微软今天修补的 115 个漏洞中,有 26 个被评为“严重”,这意味着它们都很容易被利用,如果被利用的话,很可能会导致整个设备受损。

  • 360公司:发现苹果MacOS蓝牙漏洞,可无接触远程利用

    3月26日,今天三六零公司发布消息,360Alpha Lab团队发现了5个MacOS蓝牙漏洞,将其命名为“Bluewave”漏洞,360公司将这些漏洞提交给苹果公司,经官方确认,该漏洞组合全部属于“零点击无接触”远程利用漏洞。同时,苹果官方已根据 360 安全团队所提交的漏洞报告发布补丁,并奖励漏洞奖金75000 美元。

  • 近八成企业存高危漏洞,成网络攻击“暗道”

    随着网络技术不断升级,网络安全形势日益严峻。近年来,数据泄漏、网络敲诈等各类网络安全事件频发,给企业及社会发展带来严重影响。而这些在网络空间潜滋暗长的黑产,多数都与高危漏洞相关。换句话说,利用软件和硬件中存在的漏洞,已然成为黑产攻陷各系统的主要手段。曾经席卷全球的勒索病毒WannaCry正是借助高危漏洞“永恒之蓝”发动的攻击,数小时内加密 150 多个国家的数十万台计算机,造成损失高达 80 亿美元。近期微软曝出?

  • 微软披露全新高危漏洞:影响所有Windows 10版本

    前些天才刚刚曝出一个Windows10 史诗级漏洞CVE-2020-0796,被微软评为“Critical”高危级别,让人不寒而栗。

  • 无接触“疫”走红,健康科技如何远程增援?

    文/赵继成 | 深氢商业2003 年非典时期,中国互联网才刚刚起步。 17 年后,病毒又一次来袭,把人们“圈”在屋内,但移动互联网和人工智能时代的到来,让企业、行业、社会运转的效率不可同日而语。这次科技的高度参与,让疫情防控有了质的飞跃,也推红了一个词“无接触”。无接触配送蔬菜,无接触线上教学,无接触在线义诊,无接触云音乐节,无接触云销售,无接触线上卖房……围绕无接触,各行各业正在形成技术解决方案和新的商业生?

  • 微软爆出Window字体远程漏洞,预计4月14日会发布补丁

    3月24日消息,微软今天披露了一份安全通告,已经有攻击者利用了该0Day漏洞发起远程攻击行动。如果黑客成功地发起了攻击,则理论上他们可以在受害者的设备上远程运行代码或恶意软件。该漏洞涉及Adobe Type Manager库,将会影响Windows系统所有版本。微软表示:“攻击者可以通过多种方式利用此漏洞,例如打开特制文档或在Windows预览窗格中查看它。”该漏洞的严重性级别为“严重”,是最高评级。根据微软的计划,预计4 月 14 日对这?

  • 英特尔芯片又曝漏洞,破坏基于硬件密钥的加密系统

    3月9日消息,近日,国外一家网络安全公司Positive Technologies发布警告,他们发现除英特尔第十代以外,过去五年的英特尔处理器内部都存在一个未被发现的严重安全漏洞,可能会被用来破坏基于硬件密钥的加密系统。该漏洞还有一个严重的麻烦,就是这个漏洞存在于芯片mask ROM中(掩膜型只读存储器),英特尔只能缓解其影响,但无法做到完全修复。目前英特尔还未对该漏洞进行回应。

  • 权威数据显示 Windows 10漏洞数量少于Linux、Mac OS X和Android

    近日,有外媒统计了美国国家标准技术研究院国家漏洞数据库的信息,发现Windows10 的漏洞数量远低于诸多对手。

  • Android三月安全更新将全面修复MediaTek-SU权限漏洞

    谷歌今日重申了让 Android 智能机保持最新的安全更新的重要性,使用基于联发科芯片方案的设备用户更应提高警惕。在 2020 年 3 月的安全公告中,其指出了一个存在长达一年的 CVE-2020-0069 安全漏洞。XDA-Developers 在本周的一份报告中写到,早在 2019 年 4 月,他们就已经知晓了此事。

  • 媒:12个国家正在研究央行数字货币

    根据国际清算银行(bank for International Settlements)今天发布的一份报告,十多个国家正在研究、试点数字货币,或者像中国一样,正在为央行的数字货币做准备。国际清算银行写道:“世界各国央行正在研究一套丰富的模型。”

  • Let's Encrypt 因系统漏洞将吊销近300万张TLS证书

    由于域名验证和证书签发软件中的一个错误,Lets Encrypt将吊销近300万张证书。日前,Lets Encrypt已经向受影响的客户发邮件告知,以便其及时地更新。由于事发突然,Let’s encrypt仅对有联系方式的用户进行了邮件通知,且从通知到吊销留给用户的更新时间不足24小时,此举可能意味着数百万依赖这些证书来保护敏感数据流的网站和机器身份可能会被识别为不安全或不可用,造成直接的经济损失。据悉,这批证书的吊销时间为世界标准时(UT

  • WiFi 漏洞「Kr00k」曝光:影响苹果等全球数十亿部设备

    ​Eset 的研究人员表示,这些芯片被用在了数十亿部设备之中,该漏洞主要影响的是 Cyperess 和博通生产的 FullMAC WLAN 芯片。其中就包括 iPhone、iPad 和 Mac 等苹果公司生产的设备。目前大多数设备制造商已经修补了该漏洞。

  • 媒:苹果更期望中型尺寸设备采用mini LED面板

    3 月 23 日消息,据国外媒体报道,在 2017 年秋季推出采用OLED屏幕的iPhone X之后,外界也期待苹果更多的硬件产品采用更轻薄、亮度更高、功耗更低、清晰度更高的OLED屏幕。

  • 媒:法国批准华为参与部分5G网络建设

    3月13日据路透社报道,法国国家网络安全局ANSSI通知其国内的电信运营商,能够在法国的5G部署中使用哪些设备,其中就包含使用华为的5G设备,不过只限于5G网络的非核心部分,因为这部分网络构成的安全风险较低。在此之前,英国和德国等多个欧洲国家已经宣布允许华为有限度的参与到他们国家的5G网络建设。

  • 鲸鱼教培优线上课程,让儿子在家放心学

    近期,因为疫情影响,儿子学校延长了放假时间,但是他的假期一点也没荒废。因为鲸鱼外教培优的线上课程,儿子把假期充分的利用了起来,英语水平进步了一大截。我因为比较注重孩子英语,但是又担心自身英语水平又不够,就在儿子三岁的时候,给他选择了一家我们当地很有名的双语幼儿园,在幼儿园期间,儿子就表现出了对英语的兴趣和天分,每周一节的外教课上,他都是最积极和老师互动的孩子,他们的班主任老师,也说他是班上学习最积

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议