开发人员迅速解决了影响320,000个网站的脆弱性
一家网络安全公司透露,在两个流行的WordPress插件中发现了一个关键的漏洞。beplay体育能用吗
WebARX说,无限的WP客户端和WP时间胶囊插件都包含一个身份验证旁路漏洞,该缺陷可以允许攻击者在没有密码的情况下登录管理员帐户。beplay体育能用吗最近的博客文章。
建议用户升级到最新版本的插件,这些插件已启用了修复程序 -1.9.4.5对于无限的WP客户端和1.21.16对于WP时间胶囊。
身份验证旁路缺陷,在OWASP前10名,通常是由于凭据管理不善或未能实施多因素身份验证。
应用程序代码库中缺乏安全检查也可能负责。
Webarx说:“由于身份验证旁路漏洞通常是代码中的逻辑错误,并且实际上并不涉及可疑的有效负载,因此很难找到并确定这些问题的来源。”beplay体育能用吗
无限WP客户端根据其开发人员RevMakx的数据,这是一种多站点管理工具,目前已安装在300,000个WordPress网站上。
beplay体育能用吗WebARX说,身份验证旁路缺陷起源于iwp_mmb_set_request插件的功能init.php文件,影响版本1.9.4.4及更早。
WebARX说:“为了使请求甚至到达代码的脆弱部分,我们首先必须使用JSON,然后是Base64编码有效负载,然后在POST请求中将其RAW发送到网站。”beplay体育能用吗
“我们需要知道的只是网站管理员的用户名。发送请求后,您将自动将其登录为用户。”
Webarx说,缺少身份验证检查导致问题发生。beplay体育能用吗WP时间胶囊,其开发人员据报道,该插件活跃于20,000个站点上。
这里的问题在于wptc-cron-functions.php第12行。
“这parse_request函数调用函数DECODE_SERVER_REQUEST_WPTC,该函数检查原始帖子有效载荷是否包含字符串iwp_json_prefix,” beplay体育能用吗Webarx说。
“如果它包含此字符串,它将调用WPTC_LOGIN_AS_ADMIN(它抓住所有可用的管理员帐户并使用列表中的第一个帐户),您将被登录为管理员,如下所示。”
WP时间胶囊也由RevMakx开发。该公司于1月8日迅速发布了两个插件的更新版本 - Webarx报告了缺陷的一天。beplay体育能用吗
Webarx的创始人兼首席执行官Oliver Sild告诉他,“他们[Revmakx]一天之内将其修复,并在同一天与所有客户联系,以确保人们尽快更新。”beplay体育能用吗每日swbeplay2018官网ig。
“我们[Wbeplay体育能用吗ebARX]始终帮助开发人员在发送报告时解决问题,并且该特定的开发人员在响应和补救方面都非常迅速。”
Sild补充说,没有证据表明在野外被剥削的漏洞。
他说:“我们正在积极监视它,因为它是一个受欢迎的插件,这通常会使我们首次尝试的时间/天数量/天大。”
“插件更新至关重要。”