研究人员发现,被广泛安装在WordPress网站上的商业插件Total Donations存在多个零日漏洞,
允许黑客获取受影响WordPress站点的管理访问权限,包括2.0.5在内的所有插件版本均受影响。
这些漏洞由安全公司Wordfence发现,被追踪为CVE-2019-6703,允许远程攻击者访问WordPress站点中的敏感数据,对网站内容、配置进行更改,甚至完全接管网站。
此外,黑客还可执行许多其他恶意操作,包括检索Mailchp邮件列表、修改或删除重复出现的支付流程、访问私有和未发布的帖子、将测试电子邮件发送到任意地址等,这些恶意操作可能导致SQL注入、拒绝服务(DoS)等攻击。
据悉,Total Donations由Calmar Webmedia开发,漏洞曝光后,研究人员一直未能联系到该插件的开发人员。截至目前,这些漏洞仍未得到修复,专家建议用户彻底删除该插件以保护网站。
分享到:
閱讀更多 安勝ANSCEN 的文章
