欢迎光临 - 我的站长站,本站所有资源仅供学习与参考,禁止用于商业用途或从事违法行为!

wordpress教程

WordPress法律合规插件曝出漏洞

wordpress教程 我的站长站 2020-02-15 共148人阅读

近日,超过700000个网站所使用的WordPress GDPR Cookie Consent插件修复了一个高危漏洞,可让攻击者非法删除和更改网站内容,并往网站注入恶意js代码(由于访问控制不当)。

GDPR Cookie Consent plugin可帮助网站管理员展示可定制的位于页眉或页脚的Cookie项目,以显示其网站符合欧洲所指定的数据保护法律GDPR的要求。

这个由WebToffee维护的插件也是wordpress插件库中最受欢迎的100个插件之一,根据其WordPress库的实时安装数,有超过700000个站点使用了它。

WordPress法律合规插件曝出漏洞

WordPress中的跨站脚本和权限提升

这个漏洞被认为是高危,但目前还没有CVE的ID,主要影响1.8.2或更早的版本。WebToffee在2月10日发布了最新的1.8.3版本,而在六天前,NinTechNet的安全研究员Jerome Bruandet向插件开发者报告了这个漏洞。

WordPress安全公司WordFence在WebToffee修补了这个漏洞后,也发现了这个漏洞。该公司表示,这个漏洞可让订阅级别的用户执行一些可能危及网站安全的操作。

Bruandet表示,通过认证的用户,比如普通订阅者,可以通过将他们的状态从published改为draft,将现有的页面或文章下线。

这个漏洞是由cli_policy_generatorAJAX调用中的访问控制缺陷所导致的,它可让订阅者接触到get_policy_pageid、autosave_contant_data和save_contentdata等敏感操作。

例如autosave_contant_data方法用于管理员在后台保存GDPR cookie信息页面的数据。由于它会将数据保存到cli_pg_content_data这个数据库字段而不经过任何安全验证,导致攻击者可往其中注入恶意JS代码,实现XSS攻击。

在补丁版本发布后的近两天里,已经有76000多用户更新了他们的网站,但还有60多万用户仍未有所动作。

标签 网站漏洞
相关推荐
  • 网站漏洞
  • Safe3WVS_10.1网站漏洞查杀软件
    Safe3WVS_10.1网站漏洞查杀软件

    Safe3 Web Vul Scanner使用较为领先的智能化爬虫技术及SQL注入状态检测技术,使得相比国内外同类产品智能化程度更高,速度更快,结果更准确。系统适用领域:金融、证券、银行、电子政务、电子商务、教育...

    开发软件 154 4年前
  • 帝国cms编辑器跨站漏洞

    漏洞类型:跨站脚本攻击(XSS)所属建站程序:帝国cms所属服务器类型:通用所属编程语言:PHP描述:帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出危害:

    帝国cms教程 827 11年前
  • 织梦CMS阿里云提示漏洞修复方法

    站长最开始也是用的织梦CMS,由于织梦CMS经常报漏洞后来就换成了现在的帝国cms。dedecms的漏洞问题都是众所周知的了,织梦CMS在用阿里云ECS服务器的时候,阿里云服务器后都会提示各种各样的织梦CMS漏洞,dedecms漏洞。遇到这种情况应该怎么办了,唯一方法就...

    织梦cms教程 459 7年前
  • dedecms支付模块SQL注入漏洞解决办法

    最近看到阿里云后台提示了织梦dedecms的支付模块注入漏洞导致SQL注入。引起的文件是/include/payment/alipay.php文件,下面告诉大家修复方法:找到并打开/include/payment/alipay.php文件,在里面找到如下代码:1$order_sn = trim($_GET['out_trade_no&...

    织梦cms教程 127 7年前
  • Xshell被曝多版本存在后门

    Xshell是用户用来远程管理linux服务器的常用工具,本次被曝光存在后门的版本为Xshell Build 5.0及相关,包括:Xshell Build 5.0.1322Xshell Build 5.0.1325Xmanager Enterprise 5.0 Build 1232Xmanager 5.0 Build 1045Xftp 5.0 Build 1218Xftp 5.0 Build ...

    网络新闻 218 7年前