WordPress的Total Donations插件存在漏洞,可让攻击者入侵网站
Total donor是一个易于使用但功能强大的WordPress插件,用于接受在线捐款。捐赠者可以使用一种直观的捐赠表格快速地为您的非营利组织、教会或政治组织捐款,而管理面板允许您轻松地管理您的任务、进度条和活动。
根据研究员Mikey Veenstra的说法,该插件的代码包含几个设计缺陷,它们将插件和WordPress网站暴露给一个不安全的环境。在周五发布的安全警报中,Veenstra表示该插件包含一个Ajax代码,任何未经身份验证的远程攻击者都可以使用该代码来操纵插件。
Ajax代码存储在插件的文件中,这意味着禁用插件并不能消除威胁,因为攻击者只需要直接调用文件,因此只删除整个插件可以保护站点免受攻击。此Ajax代码允许攻击者更改任何WordPress站点的核心设置的值,更改与插件相关的设置,修改通过插件接收的捐赠的目标帐户,甚至检索MailChimp邮件列表。
“Total Donations”的开发者已停止开发该插件,CodeCanyon中所有公司的插件现已停止下载。作为商业产品,该插件没有庞大的用户群。但该插件最有可能安装在具有庞大用户群的WordPress网站上,这是黑客的主要目标。
相关推荐
Wordpress0 2020-09-27
bluehost 2020-09-15
maccarty 2020-08-03
86520993 2020-07-28
WordPress 2020-07-04
李维山 2020-06-21
GimmeS 2020-06-14
WordPress 2020-06-10
shayuchaor 2020-06-10
liwf 2020-06-02
疯狂老司机 2020-05-26
zcl 2020-05-12
timewind 2020-05-11
86520993 2020-05-04
Lophole 2020-04-29
fraternityjava 2020-04-23
84911835 2020-04-16
maccarty 2020-04-09
WordPress 2020-04-07