一个WordPress插件已经被发现含有可能被攻击者利用,以获取对脆弱的网站完全控制“很容易被利用”的安全问题。

该插件称为WP Database Reset,它用于重置数据库,而无需执行标准的WordPress安装过程。该安全问题有可能影响许多网站,因为WordPress库表示该活动在80,000多个站点中处于活动状态。

Wordfense安全团队发现了两个严重漏洞,据公司称,这些漏洞中的任何一个都可用于强制整个网站重置或接管。

Wordfense的Chloe Chamberland在详细描述公司调查结果的博客文章中向网站解释了这些漏洞的危害性,并说:

“ WordPress数据库存储构成站点的所有数据,包括帖子,页面,用户,站点选项,评论等。只需单击几下几秒钟,如果未经身份验证的用户使用的是该插件的漏洞版本,则未经安装的用户可以清除整个WordPress安装。”

严重的安全漏洞

第一个严重的安全漏洞被跟踪为CVE-2020-7048,并且由于没有通过任何检查来保护任何数据库重置功能的安全,因此它可以允许任何用户无需身份验证即可重置任何数据库表。

Wordfense发现的另一个漏洞被跟踪为CVE-2020-7047,它允许任何经过身份验证的用户向自己授予管理特权,同时还使他们能够“通过一个简单的请求将所有其他用户从表中删除”。

在验证了结果之后,Wordfense于1月8日首先使WP Database Reset的开发人员意识到了安全问题。开发人员在1月13日做出回应,并承诺第二天将发布补丁程序,并在几天后公开披露该漏洞。

WP Database Reset插件的用户应尽快更新到最新版本(版本3.15),以防止其网站被黑客劫持或彻底清除。

文章版权归 鸽听网 所有,未经许可不得转载,责任编辑:李超。

分享到: