WordPress AMP 插件跨站漏洞影响10万+网站,请尽快更新!
WordPress是全球最受欢迎的内容管理系统,其AMP插件被广泛使用以优化移动页面的加载速度。然而,近期发现该插件存在一个严重的安全漏洞。文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/3251.html
这个漏洞存在于名为“AMP for WP – Accelerated Mobile Pages”的WordPress插件中。文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/3251.html
通过简码进行跨站脚本编写
跨站点脚本(XSS)是最常见的漏洞之一。在 WordPress 插件的上下文中,当插件输入数据的方式无法通过验证或清理用户输入的过程充分保护时,就会发生 XSS 漏洞。文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/3251.html
清理是阻止不需要的输入的一种方法。例如,如果插件允许用户通过输入字段添加文本,那么它还应该清理输入到该表单中的任何其他不属于该表单的内容,例如脚本或 zip 文件。文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/3251.html
短代码是 WordPress 的一项功能,允许用户在帖子和页面中插入类似于此[示例]的标签。短代码嵌入插件提供的功能或内容。这允许用户通过管理面板配置插件,然后将短代码复制并粘贴到他们希望显示插件功能的帖子或页面中。文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/3251.html
“通过短代码进行跨站脚本”漏洞是一个安全漏洞,允许攻击者利用插件的短代码功能将恶意脚本注入网站。文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/3251.html
根据 WordPress 安全公司 Patchstack 最近发布的一份报告:文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/3251.html
“这可能允许恶意行为者将恶意脚本(例如重定向、广告和其他 HTML 有效负载)注入您的网站,这些脚本将在访客访问您的网站时执行。文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/3251.html
该漏洞已在1.0.89版本中修复。”文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/3251.html
Wordfence 描述了该漏洞:文章源自 吾爱分享 吾爱分享网-https://www.wuaishare.cn/3251.html
“由于输入净化和用户提供的属性的输出转义不足,WordPress 的加速移动页面插件在 1.0.88.1 及之前的所有版本中都容易通过插件的短代码受到存储跨站点脚本攻击。”
Wordfence 还澄清说,这是一个经过身份验证的漏洞,对于此特定漏洞,黑客至少需要贡献者权限级别才能利用该漏洞。
此漏洞被 Patchstack 评为中等严重级别漏洞,在 1-10 的范围内得分为 6.5(其中 10 为最严重)。
建议用户检查其安装,以便将其修补到至少版本 1.0.89。
这个事件提醒我们,作为网站管理员,我们必须时刻保持警惕,定期更新我们的系统和插件,以确保我们的网站安全。同时,我们也需要定期备份我们的网站,以防万一。
总的来说,虽然这个漏洞的发现确实令人担忧,但是只要我们采取了适当的预防措施,我们就可以确保我们的网站安全。
评论