专家警告说,一个安装量超过 300,000 次的流行 WordPress 插件带有两个高严重性漏洞,可能允许威胁行为者完全接管网站。
Wordfence 的网络安全研究人员在去年 12 月初发现了该漏洞,并将其报告给了开发人员。
根据研究人员的说法,易受攻击的插件称为 POST SMTP,这是一种帮助网站管理员向访问者发送电子邮件的工具。它有两个主要缺陷——CVE-2023-6875 和 CVE-2023-7027。
数十万潜在受害者
前者是一个严重的授权绕过漏洞,影响插件的所有版本,最高可达 2.8.7。通过滥用该漏洞,威胁参与者可以重置 API 密钥,从而访问敏感日志信息,例如密码重置电子邮件。他们甚至可以滥用该漏洞来安装后门、修改插件和主题、篡改网站内容或将用户重定向到其他地方(例如,恶意网络钓鱼页面或广告网站)。
后者是跨站脚本 (XSS) 漏洞,也存在于 2.8.7 及之前的所有版本中。通过滥用它,黑客可以注入任意脚本。
该漏洞于 12 月初首次被发现,补丁于 2024 年 1 月 1 日发布。使用 POST SMTP 工具的用户应确保将插件带到 2.8.8 版本。
根据 BleepingComputer 的数据,大约有 150,000 个网站运行低于 2.8 的 POST SMTP 版本。其他 150,000 人正在使用更新但仍然易受攻击的版本。自补丁发布以来,已有约 100,000 次新下载。
POST SMTP 是一个免费插件,在 WordPress 插件存储库上的评分为 4.8/5。
一般来说,WordPress 作为网站建设者被认为是安全的。但是,有数以万计的免费插件带有不同的漏洞。一些插件尽管在用户中很受欢迎,但其开发人员不再支持它们,这使用户面临巨大风险。
声明:
文章来自网络收集后经过ai改写发布,如不小心侵犯了您的权益,请联系本站删除,给您带来困扰,深表歉意!
这次事件真让人担忧,感觉WordPress的安全性还有待提升,用户应该更谨慎选择插件。
建议WordPress能加强对插件的审查机制,避免类似问题再次出现,保护用户数据安全。
虽然文章提到的问题很严重,但我担心这些漏洞是否会影响到其他平台?
作者提到的具体漏洞信息很重要,大家在更新插件时要特别留意这些细节。
这些漏洞确实让人忧心,用户在选择插件时需要更加谨慎,避免使用不明来源的插件。
建议在安装插件前,先查阅一下用户评价和更新记录,以降低潜在风险。
虽然文章分析得很透彻,但我还是想知道,是否有针对这些漏洞的补救措施?
对WordPress的插件安全性表示担忧,感觉应该加强对插件的审核和监控机制。
这些插件的安全问题确实让人不安,建议用户在安装前要多做调查,确保选择信誉良好的插件。
文章提到的漏洞很严重,但我想知道具体的修复方案是什么,这样才能更好地保护网站安全。
我觉得WordPress应该定期进行插件安全审查,及时下架有风险的插件,以减少用户的安全隐患。
虽然这个问题很重要,但我担心是否会有其他类似的隐患被忽视,用户需要保持警惕。
插件的安全问题确实令人担忧,建议开发者能在发布前进行更严格的安全测试,以降低漏洞风险。
虽然提到了多个插件的漏洞,但我对这些漏洞的具体影响和修复进展还有疑问,希望能有更详细的后续报道。