WordPress爆XSS高危漏洞,影響上百萬網(wǎng)站

責(zé)任編輯:editor005

作者:cindy

2015-07-24 13:55:15

摘自:thehackernews

WordPress內(nèi)容管理系統(tǒng)(CMS)剛剛發(fā)布了更新——4 2 3版本,修復(fù)一個嚴(yán)重的、影響數(shù)百萬網(wǎng)站的安全漏洞。攻擊者可以利用該漏洞在web應(yīng)用程序中嵌入惡意HTML、javascript、Flash等,繞過wordpress的kses防護(hù),然后在其系統(tǒng)上執(zhí)行惡意腳本。

WordPress內(nèi)容管理系統(tǒng)(CMS)剛剛發(fā)布了更新——4.2.3版本,修復(fù)一個嚴(yán)重的、影響數(shù)百萬網(wǎng)站的安全漏洞。

WordPress上存在XSS漏洞

WordPress 團(tuán)隊于周二在其博客中寫道,Wordpress 4.2.3版本修復(fù)了一個跨站腳本(XSS)漏洞,擁有作者權(quán)限、投稿者權(quán)限的用戶都可以利用該漏洞入侵網(wǎng)站。

跨站腳本(XSS)漏洞確實是web應(yīng)用程序中的一個漏洞,大多發(fā)生在有針對性的網(wǎng)絡(luò)攻擊中。跨站腳本(XSS)漏洞也是近來比較受網(wǎng)絡(luò)犯罪者推崇的一個漏洞。

攻擊者可以利用該漏洞在web應(yīng)用程序中嵌入惡意HTML、javascript、Flash等,繞過wordpress的kses防護(hù),然后在其系統(tǒng)上執(zhí)行惡意腳本。

執(zhí)行惡意腳本不是最終目的,搜集用戶敏感信息才是初衷,在惡意腳本執(zhí)行之后,系統(tǒng)上存儲的cookies都會被攻擊者竊?。ê呛?,它一般也就是竊取用戶的信息吧……)。然而wordpress公司并沒有公布具體的漏洞細(xì)節(jié)。

請立即更新你的WordPress CMS

4.2.2版本之前的wordpress均存在該漏洞,強(qiáng)烈建議CMS用戶盡快將其wordpress更新到4.2.3版本(最新版),另外還建議用戶啟用自動更新功能。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號