WordPress的WP Product Review Lite插件中最近解決的一個漏洞可能被未經身份驗證的攻擊者濫用來入侵網站�。
WP Product Review Lite設計用于在WordPress網站上創(chuàng)建產品評論����。它支持創(chuàng)建頂級產品評論小部件,還可以通過在帖子中添加“立即購買”按鈕來獲利���。該插件有40,000多個安裝���。
上周,該插件背后的開發(fā)人員團隊解決了一個未經身份驗證的持久跨站點腳本(XSS)漏洞�����,該漏洞可能已被利用來向網站的所有產品頁面中注入代碼��。
Sucuri安全研究人員解釋說�,這個問題是,盡管所有用戶輸入數(shù)據(jù)都已清除��,但如果攻擊者在HTML屬性內設置參數(shù)�,則可以繞過所用的WordPress功能之一。
研究人員解釋說:“成功的攻擊導致惡意腳本被注入到該站點的所有產品中�。”
Sucuri警告說�,無需身份驗證即可發(fā)起攻擊,這意味著威脅參與者可以自動進行攻擊��。這使得網絡罪犯很容易對大量易受攻擊的網站發(fā)起攻擊�。
Sucuri的研究人員指出:“活動安裝的數(shù)量,易于利用以及成功攻擊的后果�,使此漏洞特別危險����!
Sucuri于5月13日報告了此漏洞�,并于第二天發(fā)布了WP Product Review Lite 3.7.6版本的補丁程序�����。
盡管未觀察到主動利用嘗試�,但安全研究人員建議站點管理員盡快升級到修補版本,因為該插件的較舊版本仍然容易受到攻擊和潛在的危害���。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
