插件漏洞导致 60 万个 WordPress 网站遭受攻击

WordPress 插件 WP Fastest Cache 容易受到 SQL 注入漏洞的攻击,该漏洞可能允许未经身份验证的攻击者读取站点数据库的内容。

WP Fastest Cache 是一个缓存插件,用于加速页面加载、改善访问者体验并提高网站在 Google 搜索上的排名。

根据 WordPress.org 统计,超过一百万个网站使用它。

WordPress.org 的下载统计数据显示,超过 600,000 个网站仍然运行该插件的易受攻击版本,并面临潜在的攻击。

Automattic 的 WPScan 团队披露了一个 SQL 注入漏洞的详细信息,该漏洞的编号为 CVE-2023-6063,严重程度为 8.6,影响该插件 1.2.2 之前的所有版本。

当软件接受直接操作 SQL 查询的输入时,就会出现 SQL 注入漏洞,从而导致运行检索私人信息或命令执行的任意 SQL 代码。

在这种情况下,该缺陷会影响 WP Fastest Cache 插件中“WpFastestCacheCreateCache”类的“is_user_admin”函数,该函数旨在通过从 cookie 中提取“$username”值来检查用户是否是管理员。

由于“$username”输入未经过净化,攻击者可能会操纵此 cookie 值来更改插件执行的 SQL 查询,从而导致对数据库的未经授权的访问。

WordPress 数据库通常包含敏感信息,例如用户数据(IP 地址、电子邮件、ID)、帐户密码、插件和主题配置设置以及网站功能所需的其他数据。 

WPScan 将于 2023 年 11 月 27 日发布 CVE-2023-6063 的概念验证 (PoC) 漏洞,但需要注意的是,该漏洞并不复杂,黑客可以弄清楚如何利用它。

WP Fastest Cache 开发人员已在昨天发布的 1.2.2 版本中提供了修复程序。建议所有使用该插件的用户尽快升级到最新版本。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/152551.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

网站高性能架构设计——高性能NOSQL与缓存

从公众号转载,关注微信公众号掌握更多技术动态 --------------------------------------------------------------- 一、NOSQL简介 1.关系数据库存在如下缺点 (1)关系数据库存储的是行记录,无法存储数据结构 以微博的关注关系为例,“我关注…

HT81696 立体声D类音频功率放大器应用领域

HT81696 立体声D类音频功率放大器应用领域于:・智N音响 ・无线音响 ・便携式音箱 ・2.1声道小音箱・拉杆音箱 ・便携式游戏机等等。 HT81696内部集成免滤波器调制技术,能够直接驱动扬声器,内置的关断功能使待机电流Z小化,还集成了…

「Python编程基础」第3章:控制流

文章目录 一、用“炒菜”简单介绍下“控制流”二、布尔值三、比较运算符四、 和 操作符的区别五、布尔操作符六、混合布尔和比较操作符七、代码块是什么?八、控制流语句1. if 语句2. else语句3. elif语句4. 总结 九、while循环语句十、break语句十一、continue语句…

[读论文]DiT Scalable Diffusion Models with Transformers

论文翻译Scalable Diffusion Models with Transformers-CSDN博客 论文地址:https://arxiv.org/pdf/2212.09748.pdf 项目地址:GitHub - facebookresearch/DiT: Official PyTorch Implementation of "Scalable Diffusion Models with Transformers&qu…

在哪里可以制作一本精美的翻页产品册呢?

你是否曾经为了一张可滑动的画册而翻看了整个产品册?翻页产品册是一种数字化的画册形式,它可以在电脑、手机、平板等设备上进行浏览和阅读。相比传统的纸质画册,翻页产品册有着更多的优势和用途。那么,在哪里可以制作一本这种精美…

分布式系统架构理论与组件

文章目录 1.分布式系统的发展2.分布式系统的挑战3.分布式系统基本理论3.1 CAP定理3.2 PACELC理论3.3 BASE模型3.4 一致性算法 4.分布式架构组件4.1 主要组件4.2 辅助工具4.3 常用架构 5.常用数据库5.1 数据库的发展5.2 OLTP和OLAP5.3 常用NoSQL数据库5.4 常用关系型数据库 1.分…

如何修改Hosts文件(Windows、Linux)本机配置域名解析

Hosts文件是一种在计算机网络中存储主机名与IP地址对应关系的文本文件。通过配置Hosts文件,可以避免在网络环境中DNS无法正常解析时,出现无法访问互联网的问题。 Windows修改hosts文件 1 以windows10系统为例,手指同时按住 windows 键和 X 键…

php-cli

//运行index.php ./php index.php//启动php内置服务器 ./php -S 0.0.0.0:8080//启动内置服务在后台运行,日志输出到本目录下的server.log nohup ./php -S 0.0.0.0:8080 -t . > server.log 2>&1 &# 查找 PHP 进程 ps aux | grep "php -S 0.0.0.0:…

【Python基础篇】运算符

博主:👍不许代码码上红 欢迎:🐋点赞、收藏、关注、评论。 格言: 大鹏一日同风起,扶摇直上九万里。 文章目录 一 Python中的运算符二 算术运算符1 Python所有算术运算符的说明2 Python算术运算符的所有操作…

EDMA的组成及其作用简介

EDMA是什么? 答:EDMA(Enhanced Direct Memory Access)是一种增强型的直接内存访问技术,用于高效地实现数据传输和处理。它是在传统的DMA(Direct Memory Access)基础上进行改进和扩展的。DMA是一…

windows的远程桌面服务RDS存在弱加密证书的漏洞处理

背景 漏洞扫描检测windows服务器的远程桌面服务使用了弱加密的ssl证书 思路 按照报告描述,试图使用强加密的新证书更换默认证书 解决 生成证书 通过openssl1.1.1生成(linux自带openssl,windows安装的是openssl1.1.1w)&#x…

外贸开发信主题怎么写?营销邮件标题推荐?

外贸开发信主题编写方法?如何用QQ邮件群发外贸邮件? 在外贸领域,写一封引人注目的开发信至关重要。外贸开发信主题应当吸引受众,引起兴趣,激发他们与您进一步合作的愿望。为了达到这个目标,蜂邮将探讨一些…

基于STM32设计的酒驾监控系统_优化升级版

与之前的酒驾检测的项目,优化了onenet网络上传代码,保证网络差的环境下也可以正常上传数据。 一、设计需求 1.1 设计需求总结 酒后驾车已经成为威胁人类生命安全的严重问题。为了严格控制酒后驾车,本文设计了一款针对道路行驶的酒后驾车监测系统。该系统采用STM32作为主控…

拖拽式万能DIY小程序源码系统 5分钟创建一个小程序,操作简单 带完整的部署搭建教程

随着移动互联网的发展,越来越多的企业开始使用可视化拖拽式小程序系统来开发和管理自己的应用程序。可视化拖拽式小程序系统为企业提供了一种更快捷、更简便的方式来开发和管理应用程序,这种方式能够大大提高企业的工作效率,使企业更加高效地…

Everything——检索神兵

相信在日常生活工作中,大家肯定会有这样的困惑:由于一时疏忽,自己下载或编写的文件保存的路径丢失,想再次在茫茫内存中找到会很麻烦。今天学长将带来一款软件——Everything,其拥有强大的搜索功能,可以帮助…

AIGC|实践探索Langflow集成AzureOpenAI

目录 一、背景 二、AzureOpenAI介绍 三、langflow集成支持AzureOpenAI langflow集成AzureOpenAI联通改造流程: 四、效果演示 一、背景 langflow是一个LangChain UI,它提供了一种交互界面来使用LangChain,通过简单的拖拽即可搭建自己的实…

时区、时间戳、时间点三者的关系

时区、时间戳、时间点这三个概念与Java的Date类和Calendar类紧密联系。分别说说区别。然后说一下Java的Date类和Calendar类 1. 时间戳 时间戳指的就是Unix时间戳(Unix timestamp)。它也被称为Unix时间(Unix time)、POSIX时间(POSIX time),是一种时间表示方式&…

如何调整图片尺寸:简单实用的教程分享

报名事业编考试的时候,会发现上传照片时会提示图片大小尺寸应该为多少,如果不符合规定就无法提交报名,那么怎么才能修改图片大小呢?最简单的方法就是利用调整照片大小工具来对图片尺寸修改,本文分享一个在线图片处理工…

BLIP:统一视觉语言理解与生成的预训练模型

Li J, Li D, Xiong C, et al. Blip: Bootstrapping language-image pre-training for unified vision-language understanding and generation[C]//International Conference on Machine Learning. PMLR, 2022: 12888-12900. BLIP 是 Salesforce 在 2022 年的工作,文…

分布式锁~

分布式锁 分布式锁是在分布式系统中用于协调多个节点之间对共享资源的访问的一种机制。个人认为实现分布式锁,需要一个中间件例如数据库,redis等等这样的存储锁即可实现分布式锁。 分布式锁实现方案 基于数据库(唯一索引) 基于内存(redis,…