研究人員發現,被廣泛安裝在WordPress網站上的商業插件Total Donations存在多個零日漏洞,
允許黑客獲取受影響WordPress站點的管理訪問權限,包括2.0.5在內的所有插件版本均受影響。這些漏洞由安全公司Wordfence發現,被追蹤為CVE-2019-6703,允許遠程攻擊者訪問WordPress站點中的敏感數據,對網站內容、配置進行更改,甚至完全接管網站。
此外,黑客還可執行許多其他惡意操作,包括檢索Mailchp郵件列表、修改或刪除重複出現的支付流程、訪問私有和未發佈的帖子、將測試電子郵件發送到任意地址等,這些惡意操作可能導致SQL注入、拒絕服務(DoS)等攻擊。
據悉,Total Donations由Calmar Webmedia開發,漏洞曝光後,研究人員一直未能聯繫到該插件的開發人員。截至目前,這些漏洞仍未得到修復,專家建議用戶徹底刪除該插件以保護網站。
閱讀更多 安勝ANSCEN 的文章