漏洞位于ThemeREX插件连接的WordPress REST-API接口中,该接口并不会检查发送到REST-API的命令是否来自授权用户(即网站所有者),且该接口允许执行任何PHP函数。这意味着任何未经身份验证的访客都可以执行任意代码,包括插入创建管理员账户的代码。
目前,官方尚未发布该漏洞的修复补丁。因此,专家建议若网站上运行了1.6.50或以上版本的ThemeREX插件,请尽快删除。
WordPress是目前世界上使用最广泛的网站系统之一,功能强大、插件丰富是它的主要特点。丰富的插件同时也带来了更多的安全风险。近两月,也有不少其他WordPress插件出现了问题。
本文来源于:黑客利用WordPress插件中的零日漏洞恶意创建管理员账户-变化吧门户
特别声明:以上文章内容仅代表作者本人观点,不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。
- 赞助本站
- 微信扫一扫
-
- 加入Q群
- QQ扫一扫
-
评论