无法在这个位置找到: head2.htm
当前位置: 建站首页 > 新闻动态 > 公司新闻 >

WordPress又爆出新进攻系统漏洞

时间:2021-03-04 23:06来源:未知 作者:jianzhan 点击:
据海外新闻媒体ZDNet报导:从WordPress安全性企业Defiant那里掌握到,高调的WordPress软件中的第2个系统漏洞在1周内就被积极主动运用。 在ZDNet昨日发布评价以后 ,该企业今日在1篇详尽的

据海外新闻媒体ZDNet报导:从WordPress安全性企业Defiant那里掌握到,高调的WordPress软件中的第2个系统漏洞在1周内就被积极主动运用。

在ZDNet昨日发布评价以后 ,该企业今日在1篇详尽的blog文章内容中表明,进攻现阶段正在开展中。在Defiant上星期发现应用WP GDPR Compliance软件对于WordPress网站的相近网络黑客进攻主题活动以后,这是对于WordPress网站检验到的第2次独立的网络黑客进攻尝试。

但针对近期的网络黑客进攻主题活动,网络黑客正在瞄准1个危害AMP for WP(之前称为Accelerated Mobile Pages)的系统漏洞,这是1个安裝在100,000好几个站点上的WordPress软件。

上星期,在互联网安全性企业WebARX公布有关怎样在其blog上运用它的定义认证编码以后,这个系统漏洞引发了群众的留意。

但是,荷兰安全性科学研究人员Sybre Waaijer发现了具体的系统漏洞,他在10月中旬向WordPress软件储存库的维护保养人员发现并汇报了该难题。

AMP for WP软件已于10月22日至31时间间从官方WordPress软件库房中删掉,由于开发设计人员为汇报的难题(AMP for WP version 0.9.97.20)公布了安全性修补程序流程。

该系统漏洞相近于WP GDPR Compliance软件中汇报的系统漏洞,由于进攻者可使用软件易受进攻的编码对站点选项开展站点范畴的变更,而软件不可该浏览该站点选项。

但好像上星期公布的定义认证编码早已引发了网络黑客对这1未知难题的关心。如今,Defiant权威专家说,网络黑客已将这1新系统漏洞列入“繁杂的进攻主题活动”。

该主题活动确保了“繁杂”标识,由于网络黑客不但立即盲目跟风乱用AMP for WP系统漏洞,并且还将其与另外一个跨站点脚本制作(XSS)安全性系统漏洞相融合。

进攻者应用AMP for WP软件扫描仪Web上的易受进攻的站点,应用XSS系统漏洞将故意编码储存在站点的各个一部分,并等候管理方法员客户浏览这些站点一部分。

故意编码从sslapis.com域载入JavaScript文档,该文档尝试启用仅有具备管理方法员账号的客户才可以浏览的URL。

依据Defiant的说法,这个JavaScript编码将容许网络黑客建立1个名为“supportuuser”的管理方法员客户,但也会浏览别的软件的编码编写器一部分,在那里她们会植入别的故意编码,做为“supportuuser”账号的后门。已移除。

Defiant警示说,该主题活动已全面进行,WordPress网站后台管理员应当尽快升级AMP for WP软件,并查验1个名为“supportuuser”的新管理方法员客户账号是不是在其网站的后端开发忽然出現。

来源于:zdnet By Catalin Cimpanu for Zero Day

(责任编辑:admin)
织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
无法在这个位置找到: ajaxfeedback.htm
栏目列表
推荐内容


扫描二维码分享到微信