精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

流行WordPress SEO插件曝高危SQL注入漏洞

責任編輯:editor04

2015-03-13 21:45:22

摘自:51CTO

最新消息,全球最流行的CMS應用WordPress插件WordPress SEO by Yoast曝高危SQL注入漏洞,該插件使用頻率相當高,用戶高達可達千萬。

最新消息,全球最流行的CMS應用WordPress插件WordPress SEO by Yoast曝高危SQL注入漏洞,該插件使用頻率相當高,用戶高達可達千萬。

流行WordPress SEO插件曝高危SQL注入漏洞

漏洞簡述

WordPress SEO by Yoast插件是WordPress平臺下非常流行的SEO插件,看其在Yoast網站上高達1400萬次的下載量就知道了。

該漏洞是WordPress漏洞掃描器“WPScan”開發者Ryan Dewhurst發現——1.7.3.3之前版本的WordPress SEO by Yoast都會受到SQL盲注web應用程序漏洞的影響。SQL注入漏洞之所以被標記為高危漏洞,是因為它可能會導致大量數據和敏感信息泄露。通常,在SQL注入攻擊中,攻擊者會通過客戶端在應用程序中輸入一個畸形的SQL請求。

攻擊詳情

該漏洞僅影響WordPress內部用戶,因為該漏洞存在于admin/class-bulk-editor-list-table.php文件中,而此文件只有WordPress管理員、編輯和特權作者才能訪問。

為了成功利用這一漏洞,攻擊者需要從授權用戶(管理員、編輯、作者)處利用該漏洞。當然授權用戶是不會乖乖幫你攻擊東家的,這就需要社會工程學的幫助了,攻擊者可以欺騙用戶進入一個精心編寫的URL中,如果授權用戶成為了此次攻擊的受害者,那么攻擊者就可利用此漏洞在受害者的WordPress網站上執行任意SQL請求。

漏洞利用POC

Ryan提供了一個SQL盲注漏洞的poc:

http://victim-wordpress-website.com/wp-admin/admin.php?page=wpseo_bulk-editor&type=title&orderby=post_date%2c(select%20*%20from%20(select(sleep(10)))a)&order=asc

修復補丁

1.7.4版本的WordPress SEO by Yoast(最新版)已經修復了該漏洞,順便還修復了其中的CSRF漏洞。

最新版本的WordPress已經廢除了自動更新插件的功能,建議用戶盡快手動更新WordPress SEO by Yoast。

鏈接已復制,快去分享吧

企業網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 西乌珠穆沁旗| 宁陵县| 图木舒克市| 大石桥市| 衡水市| 米脂县| 合阳县| 贵州省| 濉溪县| 温州市| 云安县| 苍南县| 双江| 博兴县| 玉田县| 永兴县| 朝阳区| 盐池县| 丰原市| 和政县| 蓬莱市| 三穗县| 周至县| 中超| 夏津县| 镇江市| 丰县| 喀喇沁旗| 和林格尔县| 肇州县| 赤壁市| 廊坊市| 安多县| 镇康县| 玉山县| 仙桃市| 来凤县| 筠连县| 江达县| 华坪县| 南岸区|