在 80,000 個站點上發現 WordPress 插件漏洞

安全研究人員在商業網站上使用的相對流行的 WordPress 插件中發現了一個漏洞。有問題的插件稱為 WooCommerce 的 Variation Swatches,可在大約 80,000 個運行 WordPress 和 WooCommerce 電子商務插件的網站上找到。

該漏洞是在 WooCommerce 插件的 Variation Swatches 的存儲跨腳本功能中發現的。該問題的嚴重性很重要,因為研究人員表示,該問題可能允許威脅行為者向頁面注入惡意腳本,甚至接管整個網站。

顧名思義,Variation Swatches 插件的目的是允許任何運行零售網站的人顯示同一基本產品的多個變體。例如,一雙藍色、黑色和棕色皮革的鞋子將展示在三個不同的樣本上。但是,包含該漏洞的插件版本允許沒有管理員權限的任何人,甚至是頁面訪問者,篡改插件的設置。

根據 Wordfence 的研究人員的說法,Swatches 插件代碼中的三個獨立功能是在沒有“能力檢查和隨機數檢查”的情況下實現的。這三個功能之一允許非特權用戶調整插件的設置並插入惡意代碼,當合法的網站管理員打開插件的設置時,這些代碼會運行。

該漏洞在 CVE-2021-42367 標記下進行了跟踪,並最終通過 11 月 23 日發布的更新修補。

在過去的幾個月裡,記錄並最終修復了一系列令人不快的錯誤,這些錯誤以某種方式與 WordPress 平台有關。我們已經介紹了其中的一些問題,包括另一個允許非特權用戶擦除整個網站的插件錯誤,以及與另一個 WordPress 插件相關的虛假勒索軟件恐慌。

December 2, 2021
正在加載...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载该应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的完整功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。