WordPress 插件中的錯誤允許遠程執行代碼
運行 WordPress 並使用前端文件管理器插件的網站有遭受黑客攻擊的風險。有問題的插件專注於在使用 WP 平台時上傳和管理文件,它有一個關鍵的跨站點腳本錯誤,允許黑客將惡意 JavaScript 注入頁面並創建自己的管理員級別帳戶。
關鍵錯誤位於前端文件管理器插件的 17.1 和 18.2 版中,並且是這兩個版本中的六個高威脅錯誤之一。問題是,根據 Threatpost 關於該問題的報告,有超過 2000 個網站運行相同的兩個版本的 WP 插件。
該插件的關鍵漏洞於 6 月 12 日公開宣布,並且已經為它們提供了補丁。
除了能夠將 JavaScript 代碼注入運行 WP 和插件的站點的頁面之外,這些漏洞還允許黑客編輯或簡單地刪除頁面和帖子、提升帳戶權限和執行跨站點腳本攻擊,也稱為作為 XSS 攻擊。這些發現是由與 Ninja Technologies Network 合作的安全研究人員得出的。
Ninja Technologies 的報告詳細列出了插件中使用的所有錯誤功能,並解釋了這些功能究竟是如何使不良行為者將惡意代碼注入頁面或提升帳戶權限並有效獲得管理員訪問權限和權限的。
這些漏洞還允許黑客將 PHP 添加到允許在前端文件管理器插件中上傳的文件列表中。這反過來又允許他們上傳啟用遠程代碼執行的惡意腳本。
在 WP 網站上使用前端文件管理器插件的任何人都需要立即更新到插件的 18.3 版本,以避免任何可能的問題並保護他們的配置。
WordPress 插件因存在可能給網站所有者帶來嚴重問題的漏洞和問題而臭名昭著。前端文件管理器插件不是第一個,如果其他插件的跟踪歷史有待觀察,它可能不會是最後一個出現嚴重錯誤的插件。運行自定義 WordPress 插件的網站所有者應始終注意這些插件的更新,以盡可能保持安全。