WordPress 曝出插件漏洞 同意任何用户接管网站
作者:cnBeta 來源:cnBeta 日期:2019-02-13 浏覽

使用 WordPress 治理其网站的用户,很可能在其中一个插件中,找到近期曝光的那个安全漏洞。一名来自 WebARX 的安全研究人员,刚刚发现了“简易社交分享按钮”(Simple Social Buttons)插件的一个缺陷。该插件旨在方便网站治理员在文章、评论、或网站的其它部门,嵌入 Facebook 或 Twitter 等 SNS 平台的社交分享按钮。


adbc27939976aa4


然而最新曝光的漏洞,允許任何能夠在上創建新賬戶的用戶,利用它來訪問“通常只有治理員才气解除的設置”。換言之,別有用心的攻擊者,可以通過該插件來接管網站。


安全研究人员指出,截止目前,WPBrigade 简易社交分享按钮插件的下载量,早已凌驾 50 万次。WordPress 声称,其已被凌驾 4 万网站接纳。


这意味着平台上搭建的诸多网站,可能已经受到了该漏洞的影响。万幸的是,安全研究人员已于上周向 WordPress 汇报了这个问题,而官方在第二天就已经公布了更新。


当然,为了确保安全,请务必将该插件升级到最新的 2.0.22 版本。