Jetpack Scan團隊釋出了最近在外掛中發現的兩個問題的摘要——Authenticated SQL Injection漏洞和Stored XSS Via CSRF漏洞。
“如果被利用,SQL隱碼攻擊漏洞可以讓攻擊者訪問受影響站點資料庫中的特權資訊(例如,使用者名稱和雜湊密碼),”Automattic安全研究工程師Marc Montpas說。這個特定的漏洞只能在安裝和啟用經典編輯器外掛的站點上被利用。
蒙帕斯說:“成功利用CSRF和儲存型XSS漏洞可以使不良行為者執行他們所針對的登入管理員允許在目標站點上執行的任何操作。” 他還發現攻擊者可能“濫用其中一些選項在受影響的網站上儲存流氓Javascript”。
WP Fastest Cache在超過100萬個WordPress站點上處於啟用狀態,該外掛還擁有58,322名付費使用者。該外掛的作者Emre Vona已釋出新版本以修補了本週釋出的 0.9.5 版本中的漏洞。Jetpack建議使用者儘快更新,因為這兩個漏洞如果被利用都會產生較為嚴重的影響。
評論留言