Jetpack Scan团队发布了最近在插件中发现的两个问题的摘要——Authenticated SQL Injection漏洞和Stored XSS Via CSRF漏洞。
“如果被利用,SQL注入漏洞可以让攻击者访问受影响站点数据库中的特权信息(例如,用户名和哈希密码),”Automattic安全研究工程师Marc Montpas说。这个特定的漏洞只能在安装和激活经典编辑器插件的站点上被利用。
蒙帕斯说:“成功利用CSRF和存储型XSS漏洞可以使不良行为者执行他们所针对的登录管理员允许在目标站点上执行的任何操作。” 他还发现攻击者可能“滥用其中一些选项在受影响的网站上存储流氓Javascript”。
WP Fastest Cache在超过100万个WordPress站点上处于启用状态,该插件还拥有58,322名付费用户。该插件的作者Emre Vona已发布新版本以修补了本周发布的 0.9.5 版本中的漏洞。Jetpack建议用户尽快更新,因为这两个漏洞如果被利用都会产生较为严重的影响。
评论留言