-
-
WordPress修复所有版本中的重要XSS漏洞
-
发表于: 2015-7-29 15:27 1757
-
新闻链接:http://www.seehand.com/news/857.html
新闻时间:2015-07-28
新闻正文:
WordPress在7月23日上午发布新版本的内容管理系统(CMS),解决了严重的跨站点脚本(XSS)漏洞,该漏洞可能会导致网站受到攻击。
Automattic公司(WordPress母公司)的工程师Gary Pendergast称,XSS漏洞可能会被标记为“贡献者”或“作者”的用户利用。虽然该漏洞的细节未被公开,但WordPress警告说,攻击者有可能通过该漏洞完全劫持该站点。由于所有版本的CMS均是易被攻击的,该公司强烈建议站长们将网站立即更新至最新的版本(4.2.3)。该更新也包括大量的其他补丁,包括针对Check Point安全公司的研究人员发现的bug,该漏洞能使订阅者通过CMS的快速起草机制创建博文。该更新还集成了4.2版本平台的20个bug。
两位WordPress流行插件的开发者这周宣布,他们在本月早些时候解决了他们产品中的漏洞。这些漏洞本来能使运行该插件的网站执行恶意代码,导致敏感信息被窃,甚至被完全控制。瑞士安全公司High-Tech Bridge的研究人员发现了这些问题——一批XSS和SQL漏洞,并在周三进行了披露。
SQL注入漏洞存在于WordPress计数插件Count Per Day之中,直至近期该插件仍可从WordPress.org插件目录下载。该问题源于对数据输入的不充分筛选,能使攻击者控制SQL查询,也可注入并执行程序数据库中的恶意SQL命令。High-Tech Bridge公司警告说,如果不对该漏洞进行修复,会使攻击者获得对敏感信息的控制,并攻陷整个网站。
然而,插件的开发者Tom Braider很快地解决了该问题,并事实上在同一天发布了补丁。虽然该插件的最新版本3.4.1在本周早期已从WordPress插件目录移除——Braider称存在许可上的小问题——该插件仍可从他的个人网站上下载。
High-Tech Bridge发现的第二个问题得到了Paid Memberships Pro公司的认可,该插件能帮助网络开发者限制网页的访问。该插件已经被下载过40000余次,受一系列XSS漏洞的影响。这些漏洞源于输入检查问题,能使远程攻击者欺骗管理员打开恶意链接。从而,攻击者能够“在显示有漏洞的网站的浏览器中执行恶意HTML和脚本代码”,High-Tech Bridge公司称。该漏洞存在于插件控制板的PMPro设置页面中。
Paid Memberships Pro公司的管理员Jason Coleman说,该问题已在1.8.4.3版本的插件中解决,该版本已在7月8日发布。
新闻时间:2015-07-28
新闻正文:
WordPress在7月23日上午发布新版本的内容管理系统(CMS),解决了严重的跨站点脚本(XSS)漏洞,该漏洞可能会导致网站受到攻击。
Automattic公司(WordPress母公司)的工程师Gary Pendergast称,XSS漏洞可能会被标记为“贡献者”或“作者”的用户利用。虽然该漏洞的细节未被公开,但WordPress警告说,攻击者有可能通过该漏洞完全劫持该站点。由于所有版本的CMS均是易被攻击的,该公司强烈建议站长们将网站立即更新至最新的版本(4.2.3)。该更新也包括大量的其他补丁,包括针对Check Point安全公司的研究人员发现的bug,该漏洞能使订阅者通过CMS的快速起草机制创建博文。该更新还集成了4.2版本平台的20个bug。
两位WordPress流行插件的开发者这周宣布,他们在本月早些时候解决了他们产品中的漏洞。这些漏洞本来能使运行该插件的网站执行恶意代码,导致敏感信息被窃,甚至被完全控制。瑞士安全公司High-Tech Bridge的研究人员发现了这些问题——一批XSS和SQL漏洞,并在周三进行了披露。
SQL注入漏洞存在于WordPress计数插件Count Per Day之中,直至近期该插件仍可从WordPress.org插件目录下载。该问题源于对数据输入的不充分筛选,能使攻击者控制SQL查询,也可注入并执行程序数据库中的恶意SQL命令。High-Tech Bridge公司警告说,如果不对该漏洞进行修复,会使攻击者获得对敏感信息的控制,并攻陷整个网站。
然而,插件的开发者Tom Braider很快地解决了该问题,并事实上在同一天发布了补丁。虽然该插件的最新版本3.4.1在本周早期已从WordPress插件目录移除——Braider称存在许可上的小问题——该插件仍可从他的个人网站上下载。
High-Tech Bridge发现的第二个问题得到了Paid Memberships Pro公司的认可,该插件能帮助网络开发者限制网页的访问。该插件已经被下载过40000余次,受一系列XSS漏洞的影响。这些漏洞源于输入检查问题,能使远程攻击者欺骗管理员打开恶意链接。从而,攻击者能够“在显示有漏洞的网站的浏览器中执行恶意HTML和脚本代码”,High-Tech Bridge公司称。该漏洞存在于插件控制板的PMPro设置页面中。
Paid Memberships Pro公司的管理员Jason Coleman说,该问题已在1.8.4.3版本的插件中解决,该版本已在7月8日发布。
赞赏
看原图
赞赏
雪币:
留言: