一个名为All in One SEO的非常流行的WordPress SEO优化插件含有一对安全漏洞,当这些漏洞组合成一个漏洞链进行利用时,可能会使网站面临着被接管的风险。有超过300万个网站在使用该插件。
据Sucuri的研究人员称,那些拥有网站账户的攻击者如订阅者、购物账户持有人或会员可以利用这些漏洞,这些漏洞包括一个权限提升漏洞和一个SQL注入漏洞。
研究人员在周三的一篇帖子中说,WordPress网站会默认允许网络上的任何用户创建一个账户,在默认情况下,新账户除了能够写评论外没有任何特权。然而,由于某些漏洞的出现,如刚刚发现的漏洞,则允许这些订阅用户拥有比他们原定计划多得多的特权。
Sucuri表示,这对漏洞已经很成熟了,很容易被利用,所以用户应该升级到已打补丁的版本,即4.1.5.3版。一般认为是Automattic的安全研究员Marc Montpas发现了这些漏洞。
特权提升和SQL注入漏洞
在这两个漏洞中更为严重的是特权提升漏洞,它影响到All in One SEO的4.0.0和4.1.5.2版本。在CVSS漏洞严重程度表上,它的严重程度为9.9(满分10分),因为它极易被犯罪分子进行利用,而且还可以用来在网络 服务器 上建立一个后门。
Sucuri的研究人员解释说,该漏洞可以简单地将请求中的一个单字符改为大写字母而进行利用。
从本质上讲,该插件可以向各种REST API端点发送命令,并进行权限检查,确保没有人在做越权的事情。然而,REST API路由是大小写敏感的,所以攻击者只需要改变一个字符的大小写就可以绕过认证检查。
Sucuri研究人员说:”当漏洞被利用时,这个漏洞就可以对WordPress文件结构中的某些文件进行覆盖,从而允许任何攻击者来对后门进行访问。从而允许攻击者接管网站,并可以将账户的权限提升为管理员。”
第二个漏洞的严重性CVSS评分为7.7,影响All in One SEO的4.1.3.1和4.1.5.2版本。
具体来说,漏洞出现在一个名为”/wp-json/aioseo/v1/objects “的API端点。Sucuri表示,如果攻击者利用之前的漏洞将他们的权限提升到管理员级别,他们将获得访问该端点的权限,并从那里向后端数据库发送恶意的SQL命令,检索用户凭证、管理信息和其他敏感数据。
研究人员说,为确保安全,All in One SEO的用户应该将软件及时更新到已打过补丁的版本。其他防御性措施还包括:
1、审查系统中的管理员用户并删除任何可疑的用户。
2、更改所有管理员账户的密码,以及在管理员面板上添加额外的加固措施。
插件成为了黑客的攻击目标
研究人员指出,WordPress的插件现在仍然是网络攻击者破坏网站的一个重要的途径。例如,12月早些时候,在针对160多万个WordPress网站的主动攻击中,研究人员发现有数千万次尝试利用四个不同的插件和几个Epsilon框架主题的攻击。
研究人员说:”WordPress插件仍然是所有网络应用的一个主要风险,它们仍然是攻击者的常规攻击目标。通过第三方插件和框架所引入的恶意代码可以极大地扩展网站的攻击面”。
这一警告是在新的漏洞不断出现的情况下发出的。例如,本月早些时候,安装在8万个由WordPress驱动的零售网站上的插件 “Variation Swatches for WooCommerce ” 被发现含有一个存储的跨站脚本(xss)安全漏洞,它可能会允许网络攻击者注入恶意的网络脚本并接管网站。
10月,研究人员发现,一个安装量超过6万的WordPress插件Post Grid存在两个高危漏洞,这使得网站非常容易被攻击者接管。而且,在Post Grid的姐妹插件Team Showcase中也发现了几乎相同的漏洞,该插件有6000个安装量。
同样在10月,在hashthemes Demo Importer的产品中发现了一个WordPress插件漏洞,它允许拥有订阅者权限的用户删除网站的所有内容。
研究人员认为,网站的所有者需要对第三方插件和框架保持警惕,并保持安全更新,他们应该使用网络应用程序防火墙来保护他们的网站,以及使用可以发现他们网站上存在恶意代码的解决方案。
请问瑞星卡卡,好用吗?
很好啊 我一直用这瑞星卡卡上网安全助手6.0版是一款基于互联网设计的全新反木马软件,拥有木马下载拦截、木马行为判断和拦截、自动在线诊断三大反木马功能,依托瑞星领先的云安全(Cloud Security)计划,可有效拦截、防御、查杀各种木马病毒,并能帮助用户自动扫描并修补系统和第三方软件漏洞,优化电脑系统,是广大网民必备的安全软件。 卡卡上网安全助手6.0版新增功能:1、木马下载拦截:基于业界领先的反木马技术,拦截中毒电脑通过网络下载更多的病毒和盗号木马,截断木马进入用户电脑的通道,有效遏制木马群等恶性木马病毒的泛滥。 2、木马行为判断与拦截:基于强大的智能主动防御技术,当木马和可疑程序启动、加载时,立刻对其行为进行拦截,阻断其盗号等破坏行为,在木马病毒运行时发现并清除,保护QQ、网游和网银的账号安全。 3、自动在线诊断:瑞星云安全(Cloud Security)计划的核心功能。 自动检测并提取电脑中的可疑木马样本,并上传到瑞星木马/恶意软件自动分析系统(Rs Automated Malware Analyzer,简称RsAMA),随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过瑞星安全资料库(Rising Security Database,简称RsSD),分享给其他所有瑞星卡卡6.0用户。 卡卡上网安全助手6.0增强功能:1、全新的“漏洞扫描与设置”,自动修复操作系统及第三方软件漏洞 应用全新开发的漏洞扫描引擎,智能检测Windows系统漏洞、第三方应用软件漏洞和相关安全设置,并帮助用户修复。 用户也可以根据设置,实现上述漏洞的自动修复,简化了用户的操作,同时更加及时的帮助用户在第一时间弥补安全隐患。 2、强力系统修复 对于被病毒破坏的系统设置,如IE浏览器主页被改、经常跳转到广告网站等现象,卡卡助手会修复注册表、系统设置和host文件,使电脑恢复正常。 3、强大的进程、启动项管理 帮助用户有效管理电脑中的驱动、开机自启动软件、浏览器插件等,可有效提高用户电脑的运行效率。 4、高级工具集 针对熟练电脑用户,卡卡上网安全助手6.0提供了全面的实用功能:垃圾文件清理、系统启动项管理、服务管理、联网程序管理、LSP修复、文件粉碎和专杀工具。 5、七大监控保护用户系统安全 卡卡上网安全助手6.0,具有自动在线诊断、U盘病毒免疫、自动修复系统漏洞、木马行为判断与拦截、不良网站防护、IE防漏墙和木马下载拦截7大监控体系。 全面开启保护用户电脑安全。 卡卡上网安全助手6.0其他主要功能:1、扫描流氓软件:依靠瑞星强大的反流氓软件技术,彻底扫描并清除系统中的流氓软件。 2、查杀流行木马:彻底清除百万余种流行盗号木马,保证用户个人信息安全。 3、电脑使用痕迹清理:快速帮助用户清理上网痕迹和应用软件使用记录。 包括:Windows使用痕迹、上网历史记录、影音播放软件历史痕迹、下载软件历史痕迹、微软Office历史痕迹、其他常用软件使用痕迹。
修理家用电器时需要一只4.75千欧的电阻,但只有十千欧,八千欧,五百欧,三百欧的电阻若干,要用最少个数的电阻得到最接近所需要的电阻值,连接方法是什么,得到的电阻阻值为多少
两个8千欧电阻并起来,串上一个五百欧电阻,串上两个五百欧的并联电阻 ;得到的电阻值4.75千欧.
负离子空气净化器选择什么品牌最好?有哪些知名的品牌中有负离子空气净化器?
奥得奥 远大的空气净化器品牌都还不错,至于说选择哪个品牌还是得根据您自己的喜好和信赖来选择。
负离子空气净化器和空气净化器的区别是
负离子原子失去或获得电子后所形成的带电粒子叫离子,例如钠离子Na+。 带电的原子团亦称“离子”,如硫酸根离子。 某些分子在特殊情况下,亦可形成离子。 而 负离子就是 带一个或多个负电荷的离子称为“负离子”,亦称“阴离子”。 例如,氧的离子状态一般就为阴离子。 负离子空气净化器负离子空气净化器:具有杀菌,分解有毒气体,有效降低在空气不流通的空间内患传染性疾病的概率,除臭作用。 负离子有镇静、催眠、镇痛、镇咳、止痒、利尿、增食欲、降血压之效。 比如雷雨过后,空气的负离子增多,人们感到心情舒畅。 简介负离子净化器是应用化学注射工艺来清洁空气的一种空气净化器。
发表评论