|
WordPress重大漏洞或影响全球超5000万网站芬兰信息安全工作人员Klikki Oy发现知名的免费建站平台 WordPress 3 版本含有重大安全漏洞,攻击者可以利用跨站指令码(Cross-sitescripting, XSS)攻击接管网站管理员的权限,进而在网站上嵌入各种恶意程序。 芬兰信息安全工作人员Klikki Oy发现知名的免费建站平台 WordPress 3 版本含有重大安全漏洞,攻击者可以利用跨站指令码(Cross-sitescripting, XSS)攻击接管网站管理员的权限,进而在网站上嵌入各种恶意程序。根据 WordPress 今年11月的估计,目前3.x版使用率约占WordPress的 85.6%,因此全球可能超过5000万个WordPress网站受到该漏洞影响,建议使用者立即更新到最新版的 WordPress 版本。 WordPress 4.0 不受该漏洞影响,并且WordPress4.0.1解决了23个Bug以及八项安全问题。 全球用WordPress搭建的网站粗略估超过 6000 万,受影响的 3.x 版占了 85.6%,相当于超过 5000 万个网站。 发现这个漏洞的 Klikki Oy 研究人员 Jouko Pynnonen 表示,该漏洞允许攻击者在特定的文字栏位中嵌入程序码,通常是 WordPress 网站上文章或网页的评论(或回应)区域,WordPress 上的预设值为任何人都可以评论或回应,而且不需登录或验证。 攻击者能够在回应中嵌入夹杂程序码的内容,当目标对象透过管理员仪表板读取该评论时,就会触发恶意程序以接管管理员的帐号,之后便能运行各种管理员权限,包括更改管理员密码、建立新的管理员帐号,甚至在服务器上运行攻击程序。 WordPress是在2010年6月发布WordPress 3.0版本,4.0则于今年的9月发表,显示该漏洞已存在4年,影响版本号从3.0~3.9.2。不过,此一漏洞并未波及最新的4.0版。 WordPress 官网在发布 WordPress 4.0.1 的说明中表示,这次版本发布属重大的安全更新,建议所有较旧的 WordPress 版本都立即更新。3.9.2 以及更早之前的WordPress 版本都受到跨站指令码漏洞所影响,可让匿名使用者感染网站。该漏洞是由 Jouko Pynnonen所发现。 WordPress 4.0 不受该漏洞影响,并且WordPress4.0.1解决了23个Bug以及八项安全问题。 * 3 个跨站脚本问题 * 一个跨站请求伪造漏洞,可以诱骗用户修改他的密码 * 可能导致密码验证的时候拒绝服务 * 当 WordPress 发出 HTTP 请求的时候,额外的服务端保护请求伪造攻击 * 一个完全不像 hash 碰撞的攻击,可以允许破坏用户账户,当然,这要要求用户账户在 2008 年以后没有登录过。 * WordPress 现在的密码重置邮件中的链接,如果用户记得他们的密码,登录,可以修改他们的邮件地址。 WordPress 4.0.1 同时还修复了 23 个 bugs以及两处重大的改进,包括更好的 EXIF 数据验证(从上传图片提取的)。 此外,Klikki Oy也对于未能更新或升级的 WordPress 用户提出暂时解决方案,建议网站可以关闭 Texturize功能,同时也发布外挂程序以协助网站关闭该功能。 责编:李玉琴 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|