安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
WordPress网站插件未修补遭到受到攻击
2020-04-05 20:27:14 【

WordPress安全公司Defiant报告称,Contact Form 7 Datepicker WordPress插件中存储的跨站点脚本(XSS)漏洞将不会收到补丁,使网站容易受到攻击。

发现此漏洞时,该插件旨在与Contact Form 7联系人表单管理插件集成,已安装了100,000多个安装。经过身份验证的XSS错误被认为是高严重性

但是,该插件已不再维护,这意味着该漏洞不会收到补丁,并且所有安装仍会受到影响。

WordPress插件团队已从存储库中删除了联系表7 Datepicker,以进行审核。通过Defiant的联系,开发人员确认他们没有维护该应用程序的计划。活动表超过500万的联系表7不受影响。

Contact Form 7 Datepicker旨在帮助用户向Contact Form 7生成的表单添加日期选择器,并且还具有修改这些日期选择器设置的功能。

发现的漏洞位于AJAX动作中,该动作调用插件用来执行其功能的功能,而该功能缺少功能检查或随机数检查。

“这样,具有最小权限的登录攻击者(例如订户)就有可能发送包含恶意java script的精心设计的请求,该请求将存储在插件的设置中,” Defiant解释说。

当授权用户创建或修改联系表单时,这将导致在浏览器中执行存储的java script代码。攻击者可能滥用此方法来窃取管理员的会话或添加自己的管理帐户。

建议站点管理员停用并删除Contact Form 7 Datepicker插件,并找到可以提供类似功能的替代插件。

由于大量受影响的网站,Defiant禁止发布有关发现的漏洞的详细信息。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇棋牌游戏被攻击了怎么办? 下一篇如何与远程工作者保持业务安全

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800