【威胁通告】WordPress插件身份验证绕过漏洞
近日,WebARX的研究员公布了两个存在于WordPress插件中的高危身份验证绕过漏洞,利用这些漏洞,攻击者无需密码即可登录管理员帐户。
近日,WebARX的研究员公布了两个存在于WordPress插件中的高危身份验证绕过漏洞,利用这些漏洞,攻击者无需密码即可登录管理员帐户。
2018年6月28日,国外安全研究组织rips团队发布了一篇WordPress任意文件删除到代码执行的漏洞文章,文章中指出攻击者可以利用此漏洞删除任意文件,比如删除WordPress建站配置文件wp-config.php,通过删除此文件可导致界面进入网站安装页面,通过重装网站后进入管理员后台即可获取网站shell从而控制WordPress网站,故该漏洞的危害很大。唯一缺陷就是需要攻击者拥有操作多媒体文件的功能,一般作者权限就可以触发漏洞。
WordPress相信大家都不陌生,之所以WordPress如此广泛的使用,它的插件机制功不可没,开发简单,松耦合性强,在WordPress运行过程中随时随地可被调用插件中的功能。本文通过UsrPro插件后门漏洞的分析来简单介绍WordPress的插件调用机制。
近日,WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制。
WordPress核心功能SQL注入漏洞分析
威胁响应中心研究员对Wordpress核心功能SQL注入漏洞(编号为CVE-2015-5623和CVE-2015-2213)进行了详细的分析