尽管几周前修补了一个流行的WordPress 插件中的两个严重缺陷,但数十万网站管理员尚未部署更新,这使他们的网站面临被接管攻击的风险。
一体化SEOWordPress插件容易受到两个缺陷的影响——CVE—2021—25036,这是一个严重的身份验证权限提升缺陷,以及 CVE—2021—25037,一个高严重性的身份验证 SQL 注入错误
总共有 300 万个站点容易受到该漏洞的影响在过去的两周里,自从插件的开发者发布补丁以来,更新了超过 200 万个插件,还有大约 820,000 个插件仍然容易受到攻击
快速更新插件
最先发现这些漏洞的 Automattic 安全研究员 Marc Montpas 表示,在易受攻击的站点上滥用这些漏洞很容易,因为攻击者所需要做的就是将单个字符改为大写以绕过所有权限检查。通过在您的MicrosoftWord文档中添加分页符,您可以准确地确定页面的结束位置和新页面的开始位置。下面介绍如何在Word中插入和删除分页符。。
这尤其令人担忧,因为插件的一些端点非常敏感例如,aioseo/v1/htaccess端点可以用任意内容重写站点的 .htaccess,他说攻击者可能会滥用此功能来隐藏 .htaccess 后门并在服务器上执行恶意代码
使用多合一 SEOWordPress插件的网站管理员应确保将其更新到 4.1.5.3 版
WordPress 插件带来的严重缺陷相对常见例如,就在一个月前,Starter Templates — Elementor, Gutenberg amp, Beaver Builder Templates 插件中的一个漏洞,允许贡献者级别的用户完全覆盖网站上的任何页面,并随意嵌入恶意 JavaScript在这种情况下,超过一百万个站点处于危险之中
同月,WooCommerce 预览电子邮件插件也被发现存在严重缺陷,可能允许攻击者完全接管网站该插件已被 20,000 多个站点使用
。