最新消息,全球最流行的CMS应用WordPress插件WordPress SEO by Yoast曝高危SQL注入漏洞,该插件使用频率相当高,用户高达可达千万。
WordPress SEO by Yoast插件是WordPress平台下非常流行的SEO插件,该漏洞是WordPress漏洞扫描器“WPScan”开发者Ryan Dewhurst发现的,1.7.3.3之前版本的WordPress SEO by Yoast都会受到SQL盲注web应用程序漏洞的影响。SQL注入漏洞之所以被标记为高危漏洞,是因为它可能会导致大量数据和敏感信息泄露。通常,在SQL注入攻击中,攻击者会通过客户端在应用程序中输入一个畸形的SQL请求。
该漏洞仅影响WordPress内部用户,因为该漏洞存在于admin/class-bulk-editor-list-table.php文件中,而此文件只有WordPress管理员、编辑和特权作者才能访问。为了成功利用这一漏洞,攻击者需要从授权用户(管理员、编辑、作者)处利用该漏洞。攻击者可以欺骗用户进入一个精心编写的URL中,如果授权用户成为了此次攻击的受害者,那么攻击者就可利用此漏洞在受害者的WordPress网站上执行任意SQL请求。
最新版本的WordPress已经废除了自动更新插件的功能,建议用户尽快手动更新WordPress SEO by Yoast。
WordPress SEO by Yoast插件是WordPress平台下非常流行的SEO插件,该漏洞是WordPress漏洞扫描器“WPScan”开发者Ryan Dewhurst发现的,1.7.3.3之前版本的WordPress SEO by Yoast都会受到SQL盲注web应用程序漏洞的影响。SQL注入漏洞之所以被标记为高危漏洞,是因为它可能会导致大量数据和敏感信息泄露。通常,在SQL注入攻击中,攻击者会通过客户端在应用程序中输入一个畸形的SQL请求。
该漏洞仅影响WordPress内部用户,因为该漏洞存在于admin/class-bulk-editor-list-table.php文件中,而此文件只有WordPress管理员、编辑和特权作者才能访问。为了成功利用这一漏洞,攻击者需要从授权用户(管理员、编辑、作者)处利用该漏洞。攻击者可以欺骗用户进入一个精心编写的URL中,如果授权用户成为了此次攻击的受害者,那么攻击者就可利用此漏洞在受害者的WordPress网站上执行任意SQL请求。
最新版本的WordPress已经废除了自动更新插件的功能,建议用户尽快手动更新WordPress SEO by Yoast。
还没有评论,来说两句吧...