手机版
你好,游客 登录 注册
背景:
阅读新闻

WordPress的Total Donations插件存在漏洞,可让攻击者入侵网站

[日期:2019-01-28] 来源:Linux公社  作者:醉落红尘 [字体: ]

Total donor是一个易于使用但功能强大的WordPress插件,用于接受在线捐款。捐赠者可以使用一种直观的捐赠表格快速地为您的非营利组织、教会或政治组织捐款,而管理面板允许您轻松地管理您的任务、进度条和活动。

根据研究员Mikey Veenstra的说法,该插件的代码包含几个设计缺陷,它们将插件和WordPress网站暴露给一个不安全的环境。在周五发布的安全警报中,Veenstra表示该插件包含一个Ajax代码,任何未经身份验证的远程攻击者都可以使用该代码来操纵插件。

Ajax代码存储在插件的文件中,这意味着禁用插件并不能消除威胁,因为攻击者只需要直接调用文件,因此只删除整个插件可以保护站点免受攻击。此Ajax代码允许攻击者更改任何WordPress站点的核心设置的值,更改与插件相关的设置,修改通过插件接收的捐赠的目标帐户,甚至检索MailChimp邮件列表。

“Total Donations”的开发者已停止开发该插件,CodeCanyon中所有公司的插件现已停止下载。作为商业产品,该插件没有庞大的用户群。但该插件最有可能安装在具有庞大用户群的WordPress网站上,这是黑客的主要目标。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-01/156619.htm

linux
相关资讯       WordPress漏洞  Total Donations 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款