mamun 123

More actions

Forum Posts

mamun 123
Jun 09, 2022
In Wellness Forum
拥有超过一百万用户的第三方 WordPress Gutenberg 件被发现有两个漏洞。成功利用这些漏洞可能会创建一条通向整个站点接 柬埔寨电话号码列表 管的间接途径。 WordPress 安全公司 WordFence 发现 WordPress 插件 G容易受到两种特定攻击。 Gutenberg 模板库和 Redux 框架 WordPress 插件 这个插件是一个 WordPress Gutenberg 块库,允许发布者在使用 Gutenberg 界面创建网站时使用预制的构建“块”轻松构建网站。 根据官方插件描述: “在 WordPress 中快速创建完整页面”古腾堡 使用我们不断增长的 WordPress 块和模板库来增强 Gutenberg 编辑器。几乎可以立即 柬埔寨电话号码列表 在您的网站上发现什么是可能的并实施任何设计。” WordPress REST-API 其中一个漏洞利用了 WordPress REST-API 的不太安全的代码接口。REST-API 是一项允许插件与 CMS 交互并在网站内进行更改的功能。 开发者页面是这样描述的: “WordPress REST API 为应用程序提供了一个接口,可以通过以 对象表示法)对象的形式发送和接 柬埔寨电话号码列表 收数据来与您的 WordPress 网站进行交互。 它是 WordPress 块编辑器的基础,同样可以使您的主题、插件或自定义应用程序呈现新的、强大的界面来管理和发布您的网站内容。 …了解 API 最重要的一点是,它启用了块编辑器和现代插件界面,而不会损害您网站的安全性或隐私性。” 从技术上讲,当插件接口由插件编码 柬埔寨电话号码列表 器安全实现时,WordPress REST-API 不会出现安全问题。 Gutenberg 模板库和 Redux 框架漏洞 有两个漏洞。这些漏洞都不允许攻击者接管网站。 然而,这些漏洞确实允许攻击者进行一系列更改,然后导致整个站点接管。 第一个漏洞允许具有贡献者或作者级别权限的攻击者安装 WordPress 存储库中的任何易受攻击的插件,并从那里利用这些漏洞执行攻击。 第二个漏洞被 描 柬埔寨电话号码列表 述为未经身份验证的敏感信息泄露漏洞。 每个企业的顶级自由职业者 Fiverr Business 为您的团队提供了扩展内部能力和执行每个项目的灵活性,方法是与经过审查的自由职业者联系,了解您需要的每项技能。 现在开始 广告 “未经身份验证”一词意味着攻击者无需登录 WordPress 站点即可执行攻击。 此特定漏洞允许攻击者检索有关 WordPress 站点的敏感信息。这允许攻击者识别可以被利 柬埔寨电话号码列表 用的易受攻击的插件。 根据 : “这个 $support_hash AJAX 操作也可供未经身份验证的用户使用,它调用了 中的 函数,它返回了潜在的敏感信息,例如 PHP 版本、活动插件站点及其版本,以及站点的 AUTH_KEY 和 SECURE_AUTH_KEY 的未加盐 md5 哈希。
模板库插 柬埔寨电话号码列表 content media
0
0
2