Bleeping Computer 网站披露,拥有 500 万安装用户的 WordPress 网站数据迁移插件 All-in-One WP Migration 存在未经身份验证的访问令牌操作漏洞,攻击者可借此访问网站敏感的数据信息。
漏洞被追踪为 CVE-2023-40004,允许未经身份验证的“用户”访问和操纵受影响扩展上的令牌配置,使网络攻击者将网站迁移数据转移到自身的第三方云服务账户或恢复恶意备份,一旦成功利用 CVE-2023-40004 ,导致包括用户详细信息、关键网站数据和专有信息等数据信息泄露。
All-in-One WP Migration 是一款流行的 WordPress 网站迁移工具,适用于非技术和经验不足的用户,允许将数据库、媒体、插件和主题无缝导出到一个易于在新目的地恢复的单个存档中。
Patchstack 表示插件供应商 ServMask 提供的各种高级扩展都包含相同的易受攻击代码片段,这些代码片段在 init 函数中缺乏权限和 nonce 验证。(该代码还存在于 Box 扩展、Google Drive 扩展、One Drive 扩展和 Dropbox 扩展中,这些扩展都是为了方便使用上述第三方平台的数据迁移过程而创建。)
好消息是,由于 All-in-One WP Migration 只在网站迁移项目中使用,通常不会在其它任何时候激活,因此在一定程度上缓解了漏洞带来的安全问题。
供应商已发布漏洞安全更新
2023 年 7 月 18 日,PatchStack 研究员拉菲-穆罕默德(Rafie Muhammad)发现了 CVE-2023-40004 漏洞,随后便报告给了 ServMask 。2023 年 7 月 26 日,供应商 ServMask 发布了安全更新,为 init 函数引入了权限和非 nonce 验证。
已应用的补丁(Patchstack)
建议受影响的第三方扩展用户升级到以下修复版本:
此外,研究人员还建议用户使用最新版本的(免费)基础插件 All-in-One WP Migration v7.78。
关于建个人博客问题
bad request意思是“错误的请求,invalidhostname意思是不存在的域名”,通常只用Windows主机才会出现这样的字样,如果是Linux主机,会显示不同的错误提示。 bad request invalidhostname出现这个错误的原因是某个域名绑定到了某个主机上,而该主机却没有绑定这个域名,所以IIS就返回了这个提示信息。 遇到这个问题怎么办呢?解决方法首先就是Ping一下域名,看看是否解析到空间所在的IP,如果是,再去空间的管理面板看有没有绑定你的域名了
拿wordpress做的网站,能申请软件著作权吗?
计算机软件著作权是向中国版权保护中心申请的,需要软件源代码,代码数量是源代码的前30页和后30页,每页50行,不能有空行(你可以在WORD里通过“查找与替换”,使用查找^p^p替换成^P来去掉空行)。 如果代码总数不足60页的,提供全部代码。 版权保护中心是不会对你的软件代码进行反编译的,所以基本上你用什么代码去申请,基本上那边是不会进行实质审查,仅仅是形式上进行审查而已。 你所担心的问题基本不会发生。 但实际如果有人对你的软件有侵权异议的时候,可能会对你的软件进行分析,使用他人的核心代码会成为你的著作权的权利漏洞(这个情况只存在你的软件大卖,或和别人的软件发生冲突,然后有人要搞你的时候发生,普通情况下是没问题的)。 在著作权的软件说明书(或使用手册)中,你需要将你的软件前台运行和后台操作做一份详细的说明,可以把操作的每一步截图下来加以说明。 接下来申请的必要文件也要准备齐全,比如在先填写并打印的申请书,权利人的身份证明材料,基于软件开发的形式(独立开发,委托开发,合作开发等等)提供相应的协议或合同,权利证明文件。
WordPress是什么软件?
WordPress 是一个注重美学、易用性和网络标准的个人信息发布平台 虽为免费的开源软件,但其价值是无法用金钱来衡量.使用 WordPress 可以搭建功强大的网络信息发布平台,但更多的是应用于个性化的博客.针对博客的应用,WordPress 能让您省却对后台技术的担心,集中精力做好网站的内容.
发表评论