当前位置:首页>WordPress资讯>WordPress AMP 插件漏洞影响多达 100,000 多个网站

WordPress AMP 插件漏洞影响多达 100,000 多个网站

WordPress 主题 CoreNext

Accelerated Mobile Pages WordPress 插件安装量超过 100,000 次,修复了一个中等严重程度的漏洞,该漏洞可能允许攻击者注入恶意脚本以供网站访问者执行。

WordPress AMP 插件漏洞影响多达 100,000 多个网站 - Google Amp
Google Amp

通过简码进行跨站脚本编写

跨站点脚本(XSS)是最常见的漏洞之一。在 WordPress 插件的上下文中,当插件输入数据的方式无法通过验证或清理用户输入的过程充分保护时,就会发生 XSS 漏洞。

清理是阻止不需要的输入的一种方法。例如,如果插件允许用户通过输入字段添加文本,那么它还应该清理输入到该表单中的任何其他不属于该表单的内容,例如脚本或 zip 文件。

简码是 WordPress 的一项功能,允许用户在帖子和页面中插入类似于此 [example] 的标签。简码嵌入插件提供的功能或内容。这允许用户通过管理面板配置插件,然后将简码复制并粘贴到他们希望显示插件功能的帖子或页面中。

“通过简码进行跨站脚本”漏洞是一个安全漏洞,允许攻击者利用插件的简码功能将恶意脚本注入网站。

根据 WordPress 安全公司 Patchstack 最近发布的一份报告:

“这可能允许恶意行为者将恶意脚本(例如重定向、广告和其他 HTML 有效负载)注入您的网站,这些脚本将在访客访问您的网站时执行。

该漏洞已在1.0.89版本中修复。”

Wordfence 描述了该漏洞:

“由于输入净化和用户提供的属性的输出转义不足,WordPress 的加速移动页面插件在 1.0.88.1 及之前的所有版本中都容易通过插件的简码受到存储跨站点脚本攻击。”

Wordfence 还澄清说,这是一个经过身份验证的漏洞,对于此特定漏洞,黑客至少需要贡献者权限级别才能利用该漏洞。

此漏洞被 Patchstack 评为中等严重级别漏洞,在 1-10 的范围内得分为 6.5(其中 10 为最严重)。

建议用户检查其安装,以便将其修补到至少版本 1.0.89。

请在此处阅读 Patchstack 报告:
WordPress 加速移动页面插件 <= 1.0.88.1 易受跨站脚本 (XSS) 攻击

请在此处阅读 Wordfence 公告:
加速移动页面 <= 1.0.88.1 – 通过短代码进行身份验证(贡献者+)存储的跨站点脚本

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
欢迎关注WordPress大学公众号 WPDAXUE
WordPress资讯

Gutenberg 17.1 改进了可访问性和写作流程

2023-11-22 11:02:00

WordPress资讯

Gutenberg 17.2 改进站点编辑体验,模板列表标题栏固定和分页等

2023-12-6 11:09:00

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索