【威胁通告】WordPress插件身份验证绕过漏洞
近日,WebARX的研究员公布了两个存在于WordPress插件中的高危身份验证绕过漏洞,利用这些漏洞,攻击者无需密码即可登录管理员帐户。
绿盟科技互联网安全威胁周报NSFOCUS-2019-29
截止到2019年7月19日,绿盟科技漏洞库已收录总条目达到43741条。本周新增漏洞记录31条,其中高危漏洞数量18条,中危漏洞数量13条,低危漏洞数量1条。WordPress 4.9.9之前版本和5.0.1之前的5.x版本中存在远程代码执行漏洞,该漏洞源于an _wp_attached_file Post Meta 条目可更改为任意字符串。
【技术分析】WordPress ≤ 4.9.6任意文件删除漏洞
2018年6月28日,国外安全研究组织rips团队发布了一篇WordPress任意文件删除到代码执行的漏洞文章,文章中指出攻击者可以利用此漏洞删除任意文件,比如删除WordPress建站配置文件wp-config.php,通过删除此文件可导致界面进入网站安装页面,通过重装网站后进入管理员后台即可获取网站shell从而控制WordPress网站,故该漏洞的危害很大。唯一缺陷就是需要攻击者拥有操作多媒体文件的功能,一般作者权限就可以触发漏洞。
WordPress插件机制及UserPro后门分析
WordPress相信大家都不陌生,之所以WordPress如此广泛的使用,它的插件机制功不可没,开发简单,松耦合性强,在WordPress运行过程中随时随地可被调用插件中的功能。本文通过UsrPro插件后门漏洞的分析来简单介绍WordPress的插件调用机制。
【预警通告】WordPress 存储型XSS漏洞 威胁预警通告
近日,WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制。
WordPress SQL注入漏洞与提权分析
WordPress核心功能SQL注入漏洞分析
威胁响应中心研究员对Wordpress核心功能SQL注入漏洞(编号为CVE-2015-5623和CVE-2015-2213)进行了详细的分析
