WordPress 捐赠插件漏洞，导致网站遭受零日攻击

内容简介：使用“Total Donations”插件的 WordPress 网站，Defiant 建议网站管理员从他们的服务器中删除该插件，防止黑客利用其代码漏洞攻击网站。 过去一周，来自 Defiant 的安全专家观察到了使用 “Total Donations” 插...

使用“Total Donations”插件的 WordPress 网站，Defiant 建议网站管理员从他们的服务器中删除该插件，防止黑客利用其代码漏洞攻击网站。

过去一周，来自 Defiant 的安全专家观察到了使用 “Total Donations” 插件会导致网站遭受零日攻击。Defiant 是 专门制作 WordPress 防火墙插件的公司。

此次漏洞覆盖所有版本的 “Total Donations” 插件。“Total Donations”是一个商业插件，网站管理员一直用来在网站收集和管理网站捐赠，目前已经放弃维护。

据研究人员 Mikey Veenstra 称，该插件的代码包含几个设计缺陷，这些缺陷从整体上将插件和 WordPress 网站暴露在不安全的环境中，在周五发布的一份安全警报中，Veenstra 表示，该插件包含一个 Ajax 代码，任何未经验证的远程攻击者都可以使用该代码操作改插件。

Ajax 代码存放在插件的一个文件中，这意味着停用插件并不能消除威胁，因为攻击者只需直接调用该文件，所以只有删除整个插件才能保护站点免受攻击。 该Ajax 代码允许攻击者更改任何 WordPress 站点的核心设置项的数值，更改插件相关的设置，修改通过插件收到的捐款的目标帐户，甚至检索 Mailchp 邮件列表。

“Total Donations”的开发商目前已经停止该插件的开发，该公司在 CodeCanyon所有插件目前已全部停止下载。作为一个商业产品，该插件不会有一个庞大的用户群。但该插件最有可能安装在拥有大量用户群的 WordPress 网站上，这些网站是黑客的主要目标。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• Gitcoin 是什么？一起来参与 COVID-19 公益捐赠！
• 锤子科技 480 万门票收入捐赠给 OpenSSL 与 OpenBSD
• MOSS 2018 回顾：向 40 余个开源项目捐赠 97 万美元
• 连续四年捐赠，微软再度成为 OpenBSD 金牌贡献者
• Debian 获 Handshake 30 万美元捐赠，用于改进基础设施
• GNOME 透露神秘捐赠者，将分两年收到 100 万美元

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。