WordPress重大漏洞或影响全球超5000万网站

来源:天极网  
2014/12/1 17:02:40
芬兰信息安全工作人员Klikki Oy发现知名的免费建站平台 WordPress 3 版本含有重大安全漏洞,攻击者可以利用跨站指令码(Cross-sitescripting, XSS)攻击接管网站管理员的权限,进而在网站上嵌入各种恶意程序。

本文关键字: WordPress 漏洞

芬兰信息安全工作人员Klikki Oy发现知名的免费建站平台 WordPress 3 版本含有重大安全漏洞,攻击者可以利用跨站指令码(Cross-sitescripting, XSS)攻击接管网站管理员的权限,进而在网站上嵌入各种恶意程序。根据 WordPress 今年11月的估计,目前3.x版使用率约占WordPress的 85.6%,因此全球可能超过5000万个WordPress网站受到该漏洞影响,建议使用者立即更新到最新版的 WordPress 版本。

WordPress 4.0 不受该漏洞影响,并且WordPress4.0.1解决了23个Bug以及八项安全问题。

全球用WordPress搭建的网站粗略估超过 6000 万,受影响的 3.x 版占了 85.6%,相当于超过 5000 万个网站。

发现这个漏洞的 Klikki Oy 研究人员 Jouko Pynnonen 表示,该漏洞允许攻击者在特定的文字栏位中嵌入程序码,通常是 WordPress 网站上文章或网页的评论(或回应)区域,WordPress 上的预设值为任何人都可以评论或回应,而且不需登录或验证。

攻击者能够在回应中嵌入夹杂程序码的内容,当目标对象透过管理员仪表板读取该评论时,就会触发恶意程序以接管管理员的帐号,之后便能运行各种管理员权限,包括更改管理员密码、建立新的管理员帐号,甚至在服务器上运行攻击程序。

WordPress是在2010年6月发布WordPress 3.0版本,4.0则于今年的9月发表,显示该漏洞已存在4年,影响版本号从3.0~3.9.2。不过,此一漏洞并未波及最新的4.0版。

WordPress 官网在发布 WordPress 4.0.1 的说明中表示,这次版本发布属重大的安全更新,建议所有较旧的 WordPress 版本都立即更新。3.9.2 以及更早之前的WordPress 版本都受到跨站指令码漏洞所影响,可让匿名使用者感染网站。该漏洞是由 Jouko Pynnonen所发现。

WordPress 4.0 不受该漏洞影响,并且WordPress4.0.1解决了23个Bug以及八项安全问题。

* 3 个跨站脚本问题

* 一个跨站请求伪造漏洞,可以诱骗用户修改他的密码

* 可能导致密码验证的时候拒绝服务

* 当 WordPress 发出 HTTP 请求的时候,额外的服务端保护请求伪造攻击

* 一个完全不像 hash 碰撞的攻击,可以允许破坏用户账户,当然,这要要求用户账户在 2008 年以后没有登录过。

* WordPress 现在的密码重置邮件中的链接,如果用户记得他们的密码,登录,可以修改他们的邮件地址。

WordPress 4.0.1 同时还修复了 23 个 bugs以及两处重大的改进,包括更好的 EXIF 数据验证(从上传图片提取的)。

此外,Klikki Oy也对于未能更新或升级的 WordPress 用户提出暂时解决方案,建议网站可以关闭 Texturize功能,同时也发布外挂程序以协助网站关闭该功能。

责编:李玉琴
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

发表评论

         看不清,换一个

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918