站長之家(ChinaZ.com) 2月18日 消息:使用ThemeGrill提供的商業主題的WordPress站點用戶注意了,建議大家趕緊更新與這些主題一起安裝的一個插件,以便修補一個允許攻擊者清除網站的關鍵漏洞。
該漏洞存在於ThemeGrill Demo Importer,該插件附帶附帶了出售商業WordPress主題的web開發公司ThemeGrill出售的主題。
這個插件安裝在 20 多萬個網站上,允許網站所有者將演示內容導入他們的ThemeGrill主題中,這樣他們可以通過示例的基礎上構建自己的網站。
然而,在昨天發佈的一份報告中,WordPress安全公司WebARX表示,老版本的ThemeGrill Demo Importer很容易受到未經身份驗證的攻擊者的遠程攻擊。遠程黑客可以向易受攻擊的網站發送特製的有效載荷,並觸發插件內部的功能。
易受攻擊的函數將站點的內容重置為零,有效地清除了所有WordPress站點中ThemeGrill主題激活的內容,並且安裝了易受攻擊的插件。
此外,如果站點的數據庫包含一個名為“admin”的用戶,那麼攻擊者將被授予對該用戶的訪問權,該用戶擁有站點的完全管理員權限。
WebARX表示,該漏洞影響了所有1.3. 4 到1.6. 1 版本的ThemeGrill Demo Importer插件。插件的開發者ThemeGrill修復了這個漏洞,並在週末發佈了1.6. 2 版。(zdnet)
閱讀更多 站長之家 的文章