澳门新葡亰信誉平台游戏WordPress4.8.1版本存在XSS跨站攻击漏洞

by admin on 2020年3月28日

澳门新葡亰信誉平台游戏 1

IT之家5月4日消息7-Zip这个名字相信各位读者一定不陌生。它是一款免费的开源压缩软件。根据维基百科的说法,其发行至今已将近20年。由于其结构精简、管用,几乎是很多人的装机首选压缩软件。但是近日,非营利组织网络安全中心(Center
for Internet
Security,简称CIS)近日发现,该软件的旧版本存在重大缺陷,可导致任意代码在电脑上执行。

摘要:2017年10月19日,阿里云安全威胁情报系统监测到WordPress
官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制,安全风险为高危。

7-Zip 由于简单、实用,是很多人装机首选的压缩软件,最近刚刚发布了 18.05
正式版本。CIS
此次发现的漏洞覆盖了 18.05
之前的所有版本,也就是说,除非用户这几天已将软件升级到最新版本,否则都可能受到该漏洞的威胁。

IT之家从PC
Gamer获知了这一消息。据了解,攻击者可以利用此安全漏洞,在PC上安装程序,查看、编辑或删除数据,或创建具有完全访问权限的新用户帐户。

CIS 指出,攻击者可利用此安全漏洞,在 PC
上安装程序,查看、编辑或删除数据,或创建具有完全访问权限的新用户帐户。好消息是目前还没有关于该漏洞威胁安全的报道,而且解决方法也很简单,只要升级到最新版本即可。

CIS也表示,在最新的18.05版之前的7-Zip都存在着这一漏洞。7-Zip的18.05版在几天前的4月30日刚刚发布。也就是说,除非用户几天前对该软件进行了更新,否则都可能受到该漏洞的威胁。

2017年10月19日,阿里云安全威胁情报系统监测到WordPress
官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制,安全风险为高危。

CIS
还建议,在安装应用软件时,不应授予其完全的权限,而是尽可能地在所有的系统和服务上采取“ 最低权限原则 ”,以便出现问题时将损害降至最小化。这可能不是一个从根源解决问题的办法,但确实能有效预防恶意攻击。

CIS还建议,用户在安装软件时候,都不要授予其完全的权限,并在所有的系统和服务上采取“最低权限原则”。这尽管不是一个好主意,但是确实能有效预防恶意程序的攻击。

阿里云安全建议站长们关注,并尽快开展自查工作,及时更新WordPress。

原文:PC
Gamer
编译:开源中国

具体详情如下:

漏洞编号:

暂无

漏洞名称:

WordPress储存型XSS漏洞

官方评级:

高危

漏洞描述:

该漏洞影响WordPress4.8.1版本,攻击者可以未授权通过WordPress的评论注入JavaScript攻击代码。评论被查看的时候,JavaScript就触发了。如果管理员登陆查看评论触发后,可能导致攻击者进入后台通过主题或插件编辑从而命令执行控制整个服务器,安全风险为高危

漏洞利用条件和方式:

远程利用

PoC状态:

目前PoC已经公开

漏洞影响范围:

受影响的版本 WordPress 4.8.1

不受影响的版本 WordPress 4.8.2

漏洞检测:

开发或运维人员排查是否使用了受影响版本范围内的WordPress。

漏洞修复建议(或缓解措施):

目前已经发布最新版本4.8.2 ,建议用户登录到面板点击“更新升级”修复该漏洞;

用户进入WordPress后台页面,选择“仪表盘”,可一键更新至WordPress最新版本。

4.8.1版本WordPress用户若不想升级,可以关闭所有文章页面的评论;

打开所用主题的function.php文件,将以下代码添加进文件中,保存后重新上传到服务器。

//禁用页面的评论功能functiondisable_page_comments( $posts ){if(
is_page()) {$posts[0]->comment_status
=’disabled’;$posts[0]->ping_status
=’disabled’;}return$posts;}add_filter(‘the_posts’,’disable_page_comments’);

使用阿里云服务器,启用阿里云安全WAF可
支持该漏洞防御。购买阿里云服务器同时可领取幸运券享受优惠活动

阿里云服务器优惠券领取:点击领取

小科普:

存储型XSS漏洞是什么?

存储型XSS漏洞具有持久化,被插入的恶意代码是存储在服务器中的,如:在个人信息或发表文章等地方,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行,这种存储类型的XSS漏洞安全风险很高,容易造成蠕虫,盗窃cookie等。

反射型XSS漏洞是什么?

反射型XSS,它具有非持久化特性,需要欺骗用户自己去点击(用户交互)链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。

原文链接

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图