致力于打造一个优秀的建站资源共享学习平台!

爱站窝四川

流行WordPress缓存插件WP-Super-Cache曝高危安全漏洞

爱站窝查看全部>>

人气162

14285483927672

流行WordPress缓存插件WP-Super-Cache近日曝出高危漏洞,攻击者可在页面中注入恶意代码,这使得数百万WordPress网站处于危险之中。

WP Super Cache是一个经典的老牌且好用的缓存插件,可以大大提高网站性能,所以一直都是WPer们几乎必装的东东之一。

漏洞详情

攻击者可以使用一个精心构造的查询语句向插件缓存文件列表页面中插入恶意脚本。为了能够保证正常显示内容,页面会请求一个有效的随机数(nonce),这种情况下就需要网站管理员手动检查该特殊会话了。

注入的恶意脚本会执行一系列恶劣且猥琐的事情,比如添加一个管理员账户、注入后门等。

网站管理员们经常会使用WP-Super-Cache文件的密钥来选择合适的缓存文件进行加载,而该漏洞正好是存在WP-Super-Cache显示缓存文件密钥信息的过程中,所以该漏洞的危害很大。

14285483706766

如上图显示 $details[ ‘key’ ]字段被插入进了页面代码中。

14285483821375

如果$details变量的‘key’参数中包含了get_wp_cache_key() 函数的返回(也就是用户cookies中的数据),那么攻击者就可在页面中插入恶意脚本。

安全建议

建议使用了WP-Super-Cache的WordPress网站管理员尽快升级该插件至1.4.4版本。

* 参考来源securityaffairs,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

TA的作品
  • Mohtml 作品/设计展示自适应wordpress主题 模板兔出品
  • QYKCMS后台软件v4.1.3部分操作界面截图
  • 轻松制作一款与众不同的QYKCMS网站主题
  • 怎样设置可以让QYKCMS系统运行得更快?
  • 使用 Apache .htaccess 文件设置QYKCMS伪静态规则的方法
  • QYKCMS后台管理软件入门级操作视频教程
  • IIS下使用 web.config 文件设置QYKCMS伪静态规则的方法
  • 同一个网站空间使用QYKCMS建立多个独立站点
  • QYKCMS后台管理员密码忘记了怎么办
  • QYKCMS 网站系统4.0 标签大全
查看全部

全部评论: 0

在线咨询
有什么可以帮到你
点击咨询

账号登录

忘记密码

第三方账号快速登录

Q Q 登 录 微 博 登 录

账号注册 已经有账号? 立即登录

发送验证码

第三方账号快速注册

Q Q 登 录 微 博 登 录