Page Builder by SiteOrigin 是一个安装量超过100W的WordPress页面生成器插件,可帮助用户使用基于小工具的页面生成器轻松构建响应式页面内容。
近期,安全人员在Page Builder by SiteOrigin 2.10.15及以下版本中,发现了两个严重漏洞:跨站请求伪造(CSRF)和 反射的跨站脚本(XSS)攻击 ,些漏洞可使黑客创建新的管理员帐户,安装后门程序并最终接管受感染的网站。
攻击者可以通过诱使WordPress站点管理员单击特制链接或附件并在其浏览器中执行恶意代码以及代表他们伪造请求来利用这些安全漏洞。
恶意代码注入并接管网站
Wordfence的威胁情报团队将这两个安全漏洞评为严重程度,他们发现了这些漏洞,并于5月4日将问题报告给了插件的开发人员。
开发团队于第二天(5月5日)发布了补丁,以解决这两个安全问题,方法是在发现了两个错误的同时向Live Editor功能和builder_content操作添加了随机数检查。
正如研究人员所解释的那样,利用这两个bug可以“用来重定向站点的管理员,创建新的管理用户帐户,可以用来在站点上注入后门。”
攻击者还可以在创建恶意管理员帐户并建立后门以维护访问权限后完全接管受到破坏的WordPress网站。
请更新至2.10.16
Page Builder的开发团队几乎在一周前将插件更新为2.10.16,以修复这两个安全漏洞,并敦促用户修补其安装程序以避免攻击。
但是,在所有100万用户中,只有22万以上的人将其Page Builder安装更新为上周发布以来的最新修补版本。
所以,如果你的网站在使用 Page Builder by SiteOrigin 2.10.15及以下版本,请务必尽快更新到最新版!
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
为什么我在:https://www.wpdaxue.com/wordpress-remove-site-health.html这篇文章里面登录还是不能评论,而在这里可以评论
可能是缓存导致的