天极传媒:
天极网
比特网
IT专家网
52PK游戏网
极客修
全国分站

北京上海广州深港南京福建沈阳成都杭州西安长春重庆大庆合肥惠州青岛郑州泰州厦门淄博天津无锡哈尔滨

产品
  • 网页
  • 产品
  • 图片
  • 报价
  • 下载
全高清投影机 净化器 4K电视曲面电视小家电滚筒洗衣机
您现在的位置: 天极网 > 软件 > 安全>新闻>WordPress漏洞影响全球超5000万网站

WordPress重大漏洞或影响全球超5000万网站

天极网软件频道2014-11-27 16:05我要吐槽

  【天极软件频道消息】芬兰信息安全工作人员Klikki Oy发现知名的免费建站平台 WordPress 3 版本含有重大安全漏洞,攻击者可以利用跨站指令码(Cross-site scripting, XSS)攻击接管网站管理员的权限,进而在网站上嵌入各种恶意程序。根据 WordPress 今年11月的估计,目前3.x版使用率约占WordPress的 85.6%,因此全球可能超过5000万个WordPress网站受到该漏洞影响,建议使用者立即更新到最新版的 WordPress 版本。

  WordPress 4.0 不受该漏洞影响,并且WordPress4.0.1解决了23个Bug以及八项安全问题。

  全球用WordPress搭建的网站粗略估超过 6000 万,受影响的 3.x 版占了 85.6%,相当于超过 5000 万个网站。

WordPress重大漏洞或影响全球超5000万网站

  发现这个漏洞的 Klikki Oy 研究人员 Jouko Pynnonen 表示,该漏洞允许攻击者在特定的文字栏位中嵌入程序码,通常是 WordPress 网站上文章或网页的评论(或回应)区域,WordPress 上的预设值为任何人都可以评论或回应,而且不需登录或验证。

  攻击者能够在回应中嵌入夹杂程序码的内容,当目标对象透过管理员仪表板读取该评论时,就会触发恶意程序以接管管理员的帐号,之后便能运行各种管理员权限,包括更改管理员密码、建立新的管理员帐号,甚至在服务器上运行攻击程序。

  WordPress是在2010年6月发布WordPress 3.0版本,4.0则于今年的9月发表,显示该漏洞已存在4年,影响版本号从3.0~3.9.2。不过,此一漏洞并未波及最新的4.0版。

  WordPress 官网在发布 WordPress 4.0.1 的说明中表示,这次版本发布属重大的安全更新,建议所有较旧的 WordPress 版本都立即更新。3.9.2 以及更早之前的WordPress 版本都受到跨站指令码漏洞所影响,可让匿名使用者感染网站。该漏洞是由 Jouko Pynnonen所发现。

  WordPress 4.0 不受该漏洞影响,并且WordPress4.0.1解决了23个Bug以及八项安全问题。

  * 3 个跨站脚本问题
  * 一个跨站请求伪造漏洞,可以诱骗用户修改他的密码
  * 可能导致密码验证的时候拒绝服务
  * 当 WordPress 发出 HTTP 请求的时候,额外的服务端保护请求伪造攻击
  * 一个完全不像 hash 碰撞的攻击,可以允许破坏用户账户,当然,这要要求用户账户在 2008 年以后没有登录过。
  * WordPress 现在的密码重置邮件中的链接,如果用户记得他们的密码,登录,可以修改他们的邮件地址。

  WordPress 4.0.1 同时还修复了 23 个 bugs以及两处重大的改进,包括更好的 EXIF 数据验证(从上传图片提取的)。

  此外,Klikki Oy也对于未能更新或升级的 WordPress 用户提出暂时解决方案,建议网站可以关闭 Texturize功能,同时也发布外挂程序以协助网站关闭该功能。


【点击进入“天极网企业频道”认证微博】

作者:天极软件责任编辑:杨玲)
请关注天极网天极新媒体 最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
热点推荐
微软Windows 10操作系统Win10系统在Win8的基础上对界面、特性以及跨平台方面做了诸多优化。[详细]
Windows 10 新视界 [进入频道][使用技巧][微博互动]
手机整机DIY企业级