正在阅读:WordPress插件WP Super Cache曝高危漏洞WordPress插件WP Super Cache曝高危漏洞

2015-04-10 12:37 出处:其他 作者:佚名 责任编辑:shengyongzhen

  外媒消息,WordPress缓存插件WP Super Cache近日曝出一高危漏洞,攻击者可藉此在页面中注入恶意代码,目前,该漏洞使得数百万WordPress网站处于危险之中。

  据了解,WP Super Cache是一个经典的老牌且好用的缓存插件,可以大大提高网站性能,所以一直都是WPer们几乎必装的插件之一。

1

  漏洞详情

  攻击者可以使用一个精心构造的查询语句向插件缓存文件列表页面中插入恶意脚本。为了能够保证正常显示内容,页面会请求一个有效的随机数(nonce),这种情况下就需要网站管理员手动检查该特殊会话了。

  注入的恶意脚本会执行一系列恶劣且猥琐的事情,比如添加一个管理员账户、注入后门等。

  网站管理员们经常会使用WP-Super-Cache文件的密钥来选择合适的缓存文件进行加载,而该漏洞正好是存在WP-Super-Cache显示缓存文件密钥信息的过程中,所以该漏洞的危害很大。

2

  如上图显示 $details[ ‘key’ ]字段被插入进了页面代码中。

3

  如果$details变量的‘key’参数中包含了get_wp_cache_key() 函数的返回(也就是用户cookies中的数据),那么攻击者就可在页面中插入恶意脚本。

  安全建议

  建议使用了WP-Super-Cache的WordPress网站管理员尽快升级该插件至1.4.4版本。

 
比特币“10周年”了 你最大的感受是什么? 企业办公环境的最大杀手 文印的安全值得重视 同是原厂连供 四大喷墨厂商到底有何不同 深不可测的黑产 原来都是用这些工具搞事? 商务投影新标杆 明基无线智能旗舰E580评测

为您推荐

加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多

网络设备论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品