研究人员发现了PageLayer WordPress插件中的两个严重漏洞，这些漏洞可能允许黑客劫持采用其设计功能的网站。

受影响的插件通过简单的拖放机制（对于没有编程专业知识的用户来说是一个福音）被用来构建自定义网页，并且已在超过200,000个网站中进行了部署。

由安全公司Wordfence识别，这两个漏洞也可能被网络罪犯操纵，以注入操纵的代码，与现有网站内容混为一谈，甚至进行整体内容擦除。
 

WordPress插件错误

据负责该发现的研究人员称，这对漏洞源于未受保护的AJAX行为，随机数泄露以及缺乏防范跨站请求伪造（CSRF）的措施。
 

据报道，黑客可能利用这些疏忽来执行各种形式的恶意活动，包括创建管理员帐户，将访问者集中到危险域中以及通过Web浏览器入侵用户的计算机。 

Wordfence解释说：“一个缺陷使具有订户级及以上权限的任何经过身份验证的用户都能够更新和修改带有恶意内容的帖子，” Wordfence解释说。

“第二个漏洞使攻击者可以代表站点管理员伪造一个请求，以修改插件的设置，从而允许恶意Javascript注入。”
 

该安全公司于4月30日披露了这些漏洞，随后PageLayer随后于5月6日发布了1.1.2版的补丁程序。但是，尽管自补丁发布以来已经过去了三周，但大约只有85,000个用户已更新到最新版本，仍然有大约12万名用户处于危险之中。

为了防止网站被接管，建议PageLayer用户立即将插件更新为最新版本。

• 查看我们的2020年最佳WordPress插件列表

版权申明：本站文章均来自网络，如有侵权，请联系01056159998 邮箱：itboby@foxmail.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有