多点WordPress插件的缺陷使电子商务网站面临广泛的攻击

这些易受攻击的插件可以在theWordPress.org上找到,并为WooCommerce安装实现一组功能,这些功能允许管理员管理他们的在线商店,目前有将近20,000个WordPress安装了这些插件。

“最近,我们的研究团队在同一家供应商MULTIDOTS公司开发的十个WordPress插件中发现了严重的安全问题。所有设计用于与WooCommerce一起工作的脆弱的插件,对所有由WooCommerce和其中一个插件驱动的在线商店来说都是一个真正的威胁。这是由威胁出版社发布的一篇博客文章。

“我们发现了存储的跨站点脚本(XSS)、跨站点请求伪造和SQL注入漏洞,黑客可以利用这些漏洞来上传键盘记录程序、shell、加密矿工和其他恶意软件,或者完全破坏网站。”

封闭的wordpress插件multidots

多点插件受到存储的跨站点脚本(XSS)、跨站点请求伪造(CSRF)和SQL注入漏洞的影响,攻击者可以利用这些漏洞来完全控制电子商务安装。

这些漏洞被追踪到CVE-2018-11579、CVE-2018-11580、CVE-2018-11633和CVE-2018-11632,它们可以让攻击者发动广泛的攻击,比如安装密码货币挖掘程序或安装攻击包来发送恶意软件。

专家警告说,一些漏洞可以在没有任何用户交互的情况下被利用。

威胁出版社的研究人员于5月8日向多点报告了这一缺陷,该公司承认存在缺陷,但当时仍未解决缺陷。

威胁出版社公布了漏洞的技术细节,并为每个漏洞发布了概念验证(PoC)代码。

“很高兴知道WordPress的安全反应很快,但我们仍然有一个大问题。”亚当斯在一篇博客文章中说:“没有办法告诉所有用户这些插件的威胁。”奇怪的是WordPress可以显示可用更新的信息,但是仍然不能通过同样的方式提供关于封闭插件的信息来保护你。我们希望看到这一领域的一些变化。在这种情况下,我们可以通知受影响网站的所有者,并保护近2万个网站。

Pierluigi帕格尼尼

(安全事务-多点,WordPress插件)

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: