在广泛使用的WordPress插件中修复了严重缺陷
IR35改革:HMRC否认在线税务状态评估工具返回不可靠的结果
报告索赔北韩网页用户享受亚马逊,Facebook和YouTube
这是微软对全息办公室的愿景
AI监控NATWEST通信以确保建议是合适的
条形码仓库部署ServiceNOW以简化托管服务
代码重用将120多次D-Link设备的模型暴露在黑客身上
思科表示,销毁服务攻击对业务的存在威胁
法院裁决Apple的爱尔兰数据中心规划争议延迟了“评委短缺”
CIA黑客工具用于Mac OS和Linux由Wikileaks暴露
签证鼓励美国企业以500,000英镑的硬现金返回现金
使用AMD的Radeon RX 480的游戏台面在800美元以下
捕获phish:如何避免用户被迷住
N.Y.司机在玩神奇宝贝的同时将车撞到树上
通过云获取运行Linux操作系统的ARM服务器
Kubernetes推出了最新版本
政府IT项目改善 - 但有几个仍然有疑问
谷歌打开英国数据中心区域,以向企业提供低延迟云连接
德克萨斯城潜入水监测技术
政府加强英国数据保护法
Mingis关于Tech:带扭曲 - 虚拟现实的过山车!
美国宇航局流浪者的好奇心在火星上工作
美国计划IOT安全立法,但英国不太可能遵循
为什么特斯拉模型的'自动驾驶仪'名称需要更改......现在
政府立法为全纤维宽带税假假期
戴姆勒和博世展示了自动代客停车
在COUP尝试期间,土耳其总统通过FaceTime出现在直播电视
CIF GEAR UP瞄准公共部门云
RIO奥运网络安全成功的重点
纽卡斯尔将千兆宽带在理事会属性中
AT&T喜欢“白盒网络”并希望您也希望
英国科技最具影响力的女性:2017年的Longlist.
随着股东愤怒的股票大小,杂乱地拉动私募股权交易的消息
Apple报告了第二直季度的iPhone销售额下降
黑莓经典的死亡打击; Android可以保存公司吗?
Oracle问题有史以来,修复了276张安全漏洞的最大补丁捆绑包
Palo Alto Networks设置为推动安全创新的新时代
数字游牧民券在没有无线合同的旅行博客中
澳大利亚的威斯皮尔拨入全球市场
Tegile推出Intelliflash分层与NVME一起闪光灯阵列
防病毒合并:Avast为AVG提供13亿美元
英国呼吁美国科技巨头加强对抗极端主义
执行面试:布莱恩凯利,首席安全官,Rackspace
Senent Health CCIO说,分享健康数据对患者护理至关重要
Infosec17:IOT安全监管来了,警告布鲁斯施奈尔
IAG首席执行官说,英国航空公司IT毛刺由人类错误引起的
这是智能手机每年可以节省125,000个美国生活方式
合作是打击网络犯罪的关键
伦敦科技部门吸引了记录投资
新的Windows 10 Beta Build 14388将在“快”戒指上爬行到Windows内部内部
您的位置:首页 >产品 > 商业评论 >

在广泛使用的WordPress插件中修复了严重缺陷

2021-07-13 20:44:04 [来源]:

如果您“重新运行WordPress网站,并且您拥有一个SEO Pack插件中的大幅流行,请尽快更新它。最新版本已发布星期五修复了可用于劫持网站的管理帐户的缺陷。

该漏洞处于插件的BOT阻止功能,可以通过将HTTP请求与特定的标题发送到网站来远程利用。

根据安全研究员David Vaartjes,旨在根据其发现和报告的问题,根据安全研究员David Vaartjes,旨在根据其用户代理和引用标题值来检测和阻止垃圾邮件机器人。

如果启用了轨道阻塞机器人设置 - 它不是默认情况下的 - 插件将记录阻止的所有请求,并将在站点的管理面板内的HTML页面上显示它们。

由于插件无法正确消毒在显示之前请求,因为攻击者可以在请求标题中注入恶意JavaScript代码,允许代码结束作为HTML页面的一部分。

这允许持久的跨站点脚本(XSS)攻击,其中每次用户查看日志页面时都会执行流氓码。由于该页面位于管理面板中,因此该用户可能是管理员,并且代码可以窃取其会话令牌。

这些令牌是存储在浏览器中的值,允许网站识别登录用户。通过将这些值放在自己的浏览器中,攻击者可以将网站作为管理员访问,而无需进行身份验证。

Rogue代码也可能强制管理员的浏览器来执行他们没有授权的动作。

全部在一个SEO Pack开发人员 - 一家名为Semper Fi网页设计的公司 - 星期五发布的2.3.7版,以解决此漏洞。建议用户尽快升级到此版本,或者确保他们没有启用轨道阻塞机器人设置。

所有SEO包都提供了大量的搜索引擎优化功能,以提高搜索结果中的网站的可见性。根据WordPress插件存储库的统计信息,它很受欢迎,有超过一百万的活动安装。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。