WordPress安全公司Defiant報告稱,Contact Form 7 Datepicker WordPress插件中存儲的跨站點腳本(XSS)漏洞將不會收到補丁�,使網(wǎng)站容易受到攻擊��。
發(fā)現(xiàn)此漏洞時����,該插件旨在與Contact Form 7聯(lián)系人表單管理插件集成�����,已安裝了100,000多個安裝����。經(jīng)過身份驗證的XSS錯誤被認為是高嚴重性。
但是�����,該插件已不再維護�,這意味著該漏洞不會收到補丁,并且所有安裝仍會受到影響��。
WordPress插件團隊已從存儲庫中刪除了聯(lián)系表7 Datepicker����,以進行審核�����。通過Defiant的聯(lián)系�,開發(fā)人員確認他們沒有維護該應(yīng)用程序的計劃����。活動表超過500萬的聯(lián)系表7不受影響。
Contact Form 7 Datepicker旨在幫助用戶向Contact Form 7生成的表單添加日期選擇器���,并且還具有修改這些日期選擇器設(shè)置的功能����。
發(fā)現(xiàn)的漏洞位于AJAX動作中��,該動作調(diào)用插件用來執(zhí)行其功能的功能���,而該功能缺少功能檢查或隨機數(shù)檢查����。
“這樣����,具有最小權(quán)限的登錄攻擊者(例如訂戶)就有可能發(fā)送包含惡意java script的精心設(shè)計的請求��,該請求將存儲在插件的設(shè)置中��,” Defiant解釋說����。
當授權(quán)用戶創(chuàng)建或修改聯(lián)系表單時���,這將導(dǎo)致在瀏覽器中執(zhí)行存儲的java script代碼。攻擊者可能濫用此方法來竊取管理員的會話或添加自己的管理帳戶���。
建議站點管理員停用并刪除Contact Form 7 Datepicker插件�,并找到可以提供類似功能的替代插件����。
由于大量受影響的網(wǎng)站,Defiant禁止發(fā)布有關(guān)發(fā)現(xiàn)的漏洞的詳細信息����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
