白菜网送体验金网站大全

一个名为All in One SEO的十分流行的WordPress SEO优化插件含有一双安全粗疏，当这些粗疏组合成一个粗疏链进行欺诈时，可能会使网站濒临着被经受的风险。有最初300万个网站在使用该插件。

据Sucuri的探讨东说念主员称，那些领有网站账户的报复者如订阅者、购物账户抓有东说念主或会员不错欺诈这些粗疏，这些粗疏包括一个权限普及粗疏和一个SQL注入粗疏。

探讨东说念主员在周三的一篇帖子中说，WordPress网站会默许允许采集上的任何用户创建一个账户，在默许情况下，新账户除了或者写有计划外莫得任何特权。然则，由于某些粗疏的出现，如刚刚发现的粗疏，则允许这些订阅用户领有比他们原定策划多得多的特权。

Sucuri示意，这对粗疏依然很纯属了，很容易被欺诈，是以用户应该升级到已打补丁的版块，即4.1.5.3版。一般觉得是Automattic的安全探讨员Marc Montpas发现了这些粗疏。

王子文自从出演了《欢乐颂》曲筱绡一角迅速走红，而她的身高也是网友最关心的。据说只有1.5米左右。

在这两个粗疏中更为严重的是特权普及粗疏，它影响到All in One SEO的4.0.0和4.1.5.2版块。在CVSS粗疏严重进度表上，它的严重进度为9.9(满分10分)，因为它极易被犯警分子进行欺诈，况且还不错用来在采集管事器上成立一个后门。

Sucuri的探讨东说念主员诠释注解说白菜网送体验金网站大全，该粗疏不错浮浅地将苦求中的一个单字符改为大写字母而进行欺诈。

从实践上讲，该插件不错向各式REST API端点发送敕令，并进行权限查验，确保莫得东说念主在作念越权的事情。然则，REST API路由是大小写敏锐的，是以报复者只需要改变一个字符的大小写就不错绕过认证查验。

Sucuri探讨东说念主员说："当粗疏被欺诈时，这个粗疏就不错对WordPress文献结构中的某些文献进行隐敝，从而允许任何报复者来对后门进行窥察。从而允许报复者经受网站，并不错将账户的权限普及为照管员。"

第二个粗疏的严重性CVSS评分为7.7，影响All in One SEO的4.1.3.1和4.1.5.2版块。

具体来说，联系我们粗疏出当今一个名为"/wp-json/aioseo/v1/objects "的API端点。Sucuri示意，若是报复者欺诈之前的粗疏将他们的权限普及到照管员级别，他们将得到窥察该端点的权限，并从那处向后端数据库发送坏心的SQL敕令，检索用户凭据、照管信息和其他敏锐数据。

探讨东说念主员说，为确保安全，All in One SEO的用户应该将软件实时更新到已打过补丁的版块。其他精致性按序还包括：

1、审查系统中的照管员用户并删除任何可疑的用户。

2、蜕变总共照管员账户的密码，以及在照管员面板上添加稀疏的加固按序。

探讨东说念主员指出，WordPress的插件当今仍然是采集报复者窒碍网站的一个焦虑的路线。举例，12月早些技能，在针对160多万个WordPress网站的主动报复中，探讨东说念主员发现存数千万次尝试欺诈四个不同的插件和几个Epsilon框架主题的报复。

探讨东说念主员说："WordPress插件仍然是总共采集应用的一个主要风险，它们仍然是报复者的惯例报复有算计打算。通过第三方插件和框架所引入的坏心代码不错极地面推广网站的报复面"。

这一劝诫是在新的粗疏不时出现的情况下发出的。举例，本月早些技能，装配在8万个由WordPress启动的零卖网站上的插件 "Variation Swatches for WooCommerce " 被发现含有一个存储的跨站剧本(XSS)安全粗疏，它可能会允许采集报复者注入坏心的采集剧本并经受网站。

10月，探讨东说念主员发现，一个装配量最初6万的WordPress插件Post Grid存在两个高危粗疏，这使得网站十分容易被报复者经受。况且，在Post Grid的姐妹插件Team Showcase中也发现了险些交流的粗疏，该插件有6000个装配量。

相同在10月，在Hashthemes Demo Importer的居品中发现了一个WordPress插件粗疏，它允许领有订阅者权限的用户删除网站的总共内容。

探讨东说念主员觉得，网站的总共者需要对第三方插件和框架保抓警惕，并保抓安全更新，他们应该使用采集应用样貌防火墙来保护他们的网站，以及使用不错发现他们网站上存在坏心代码的惩处决策。

本文翻译自：https://threatpost.com/all-in-one-seo-plugin-bug-threatens-3m-wordpress-websites-takeovers/177240/如若转载，请注明原文地址。

 白菜网送体验金网站大全

• 白菜
• 定约
• 策画
• 多的