成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

All in One SEO插件漏洞威脅三百萬網站的安全

安全
一個名為All in One SEO的非常流行的WordPress SEO優化插件含有一對安全漏洞,當這些漏洞組合成一個漏洞鏈進行利用時,可能會使網站面臨著被接管的風險。

一個名為All in One SEO的非常流行的WordPress SEO優化插件含有一對安全漏洞,當這些漏洞組合成一個漏洞鏈進行利用時,可能會使網站面臨著被接管的風險。有超過300萬個網站在使用該插件。

據Sucuri的研究人員稱,那些擁有網站賬戶的攻擊者如訂閱者、購物賬戶持有人或會員可以利用這些漏洞,這些漏洞包括一個權限提升漏洞和一個SQL注入漏洞。

研究人員在周三的一篇帖子中說,WordPress網站會默認允許網絡上的任何用戶創建一個賬戶,在默認情況下,新賬戶除了能夠寫評論外沒有任何特權。然而,由于某些漏洞的出現,如剛剛發現的漏洞,則允許這些訂閱用戶擁有比他們原定計劃多得多的特權。

Sucuri表示,這對漏洞已經很成熟了,很容易被利用,所以用戶應該升級到已打補丁的版本,即4.1.5.3版。一般認為是Automattic的安全研究員Marc Montpas發現了這些漏洞。

特權提升和SQL注入漏洞

在這兩個漏洞中更為嚴重的是特權提升漏洞,它影響到All in One SEO的4.0.0和4.1.5.2版本。在CVSS漏洞嚴重程度表上,它的嚴重程度為9.9(滿分10分),因為它極易被犯罪分子進行利用,而且還可以用來在網絡服務器上建立一個后門。

Sucuri的研究人員解釋說,該漏洞可以簡單地將請求中的一個單字符改為大寫字母而進行利用。

從本質上講,該插件可以向各種REST API端點發送命令,并進行權限檢查,確保沒有人在做越權的事情。然而,REST API路由是大小寫敏感的,所以攻擊者只需要改變一個字符的大小寫就可以繞過認證檢查。

Sucuri研究人員說:"當漏洞被利用時,這個漏洞就可以對WordPress文件結構中的某些文件進行覆蓋,從而允許任何攻擊者來對后門進行訪問。從而允許攻擊者接管網站,并可以將賬戶的權限提升為管理員。"

第二個漏洞的嚴重性CVSS評分為7.7,影響All in One SEO的4.1.3.1和4.1.5.2版本。

具體來說,漏洞出現在一個名為"/wp-json/aioseo/v1/objects "的API端點。Sucuri表示,如果攻擊者利用之前的漏洞將他們的權限提升到管理員級別,他們將獲得訪問該端點的權限,并從那里向后端數據庫發送惡意的SQL命令,檢索用戶憑證、管理信息和其他敏感數據。

研究人員說,為確保安全,All in One SEO的用戶應該將軟件及時更新到已打過補丁的版本。其他防御性措施還包括:

1、審查系統中的管理員用戶并刪除任何可疑的用戶。

2、更改所有管理員賬戶的密碼,以及在管理員面板上添加額外的加固措施。

插件成為了黑客的攻擊目標

研究人員指出,WordPress的插件現在仍然是網絡攻擊者破壞網站的一個重要的途徑。例如,12月早些時候,在針對160多萬個WordPress網站的主動攻擊中,研究人員發現有數千萬次嘗試利用四個不同的插件和幾個Epsilon框架主題的攻擊。

研究人員說:"WordPress插件仍然是所有網絡應用的一個主要風險,它們仍然是攻擊者的常規攻擊目標。通過第三方插件和框架所引入的惡意代碼可以極大地擴展網站的攻擊面"。

這一警告是在新的漏洞不斷出現的情況下發出的。例如,本月早些時候,安裝在8萬個由WordPress驅動的零售網站上的插件 "Variation Swatches for WooCommerce " 被發現含有一個存儲的跨站腳本(XSS)安全漏洞,它可能會允許網絡攻擊者注入惡意的網絡腳本并接管網站。

10月,研究人員發現,一個安裝量超過6萬的WordPress插件Post Grid存在兩個高危漏洞,這使得網站非常容易被攻擊者接管。而且,在Post Grid的姐妹插件Team Showcase中也發現了幾乎相同的漏洞,該插件有6000個安裝量。

同樣在10月,在Hashthemes Demo Importer的產品中發現了一個WordPress插件漏洞,它允許擁有訂閱者權限的用戶刪除網站的所有內容。

研究人員認為,網站的所有者需要對第三方插件和框架保持警惕,并保持安全更新,他們應該使用網絡應用程序防火墻來保護他們的網站,以及使用可以發現他們網站上存在惡意代碼的解決方案。

本文翻譯自:https://threatpost.com/all-in-one-seo-plugin-bug-threatens-3m-wordpress-websites-takeovers/177240/如若轉載,請注明原文地址。

 

責任編輯:姜華 來源: 嘶吼網
相關推薦

2025-05-19 10:09:00

2024-08-22 12:38:03

2024-05-08 16:32:35

2015-04-22 09:18:25

2015-10-20 20:16:32

2014-08-18 11:15:06

OpenStack

2014-07-10 10:19:47

Adobe

2025-05-20 08:41:17

2025-06-13 09:30:00

2020-04-02 11:06:56

網站安全HTTPS加密

2015-03-13 19:22:03

2024-09-30 13:31:57

2021-04-14 10:53:33

DNS漏洞物聯網設備

2019-09-30 15:13:44

惡意程序惡意網站網絡安全

2011-05-27 10:01:17

2011-06-24 14:46:08

網站優化SEO

2014-07-15 09:21:44

2011-05-25 19:22:45

2013-12-12 16:23:58

2024-02-28 18:19:35

點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 成人免费视频一区二区 | 欧美一级二级视频 | 欧美www在线 | 成人在线视频免费播放 | 亚洲国产一区二区在线 | 欧美在线a | av在线天堂 | 久久久久久久电影 | 午夜激情一区 | 亚洲欧美一区二区三区在线 | 久久中文字幕一区 | 日韩不卡视频在线 | 色综合久| 国产精品视频久久 | 国产一区二区在线免费观看 | 亚洲综合婷婷 | 亚洲综合天堂网 | 欧美在线观看一区 | 国产成人精品久久二区二区 | 奇米av| 综合久久久久 | 欧美激情一区 | 欧美日韩在线观看视频 | 欧美日韩高清一区 | 在线精品一区 | 欧美精品成人一区二区三区四区 | 日韩亚洲欧美综合 | 日韩在线欧美 | 99精品视频在线 | 欧美精品久久久久久久久老牛影院 | 波多野结衣二区 | 亚洲一区av | 亚洲成人自拍网 | 日韩精品久久久久 | 欧美aaa一级片| 大香在线伊779 | 亚洲午夜久久久 | 黄色片在线看 | 欧美一区二区三区日韩 | 亚洲视频区 | 国产亚洲一区二区精品 |