WordPress 插件中的错误允许远程执行代码
运行 WordPress 并使用前端文件管理器插件的网站有遭受黑客攻击的风险。有问题的插件专注于在使用 WP 平台时上传和管理文件,它有一个关键的跨站点脚本错误,允许黑客将恶意 JavaScript 注入页面并创建自己的管理员级别帐户。
关键错误位于前端文件管理器插件的 17.1 和 18.2 版中,是这两个版本中的六个高威胁错误之一。问题是,根据 Threatpost 关于该问题的报告,有超过 2000 个网站运行相同的两个版本的 WP 插件。
该插件的关键漏洞于 6 月 12 日公开宣布,并且已经为它们提供了补丁。
除了能够将 JavaScript 代码注入运行 WP 和插件的站点的页面之外,这些漏洞还允许黑客编辑或简单地删除页面和帖子、提升帐户权限和执行跨站点脚本攻击,也称为作为 XSS 攻击。这些发现是由与 Ninja Technologies Network 合作的安全研究人员得出的。
Ninja Technologies 的报告详细列出了插件中使用的所有错误功能,并解释了这些功能究竟是如何使不良行为者将恶意代码注入页面或提升帐户权限并有效获得管理员访问权限和权限的。
这些漏洞还允许黑客将 PHP 添加到允许在前端文件管理器插件中上传的文件列表中。这反过来又允许他们上传启用远程代码执行的恶意脚本。
在 WP 网站上使用前端文件管理器插件的任何人都需要立即更新到插件的 18.3 版本,以避免任何可能的问题并保护他们的配置。
WordPress 插件因存在可能给网站所有者带来严重问题的漏洞和问题而臭名昭著。前端文件管理器插件不是第一个,如果其他插件的跟踪历史可以参考,它可能不会是最后一个出现严重错误的插件。运行自定义 WordPress 插件的网站所有者应始终注意这些插件的更新,以尽可能保持安全。