Woody AD摘要插件的用户处于危险之中
更新Exploit代码已发布针对具有超过90,000个安装的流行WordPress插件发布。
脆弱性可能允许未经身份验证远程代码执行((RCE)在Woody AD片段中 - 一个插件,旨在简化向WordPress网站添加标题和广告相关内容的过程。beplay体育能用吗
该软件是由Will Bontrager软件和WebCraftic开发的 - 为代码段创建了一个库,可以通过头部,beplay体育能用吗页脚和邮政注射自动添加到页面。
GeneralegX-Vector开发了概念验证(POC)漏洞,最近在github。
用户应尽快将其插件升级到最新版本,以减轻妥协的风险。
安全供应商Nintechnet最初发现了脆弱的代码,并于7月29日向WordPress.org团队报告了问题。
此后,脆弱性已在木质广告片段中修补版本2.2.5截至7月31日。
在2.2.5版之前,admin/inclust/class.import.snippet.php插件的功能包含未经验证的选项导入问题。
攻击者能够在不知情的管理员触发存储后,在脆弱系统上种植任意利用代码跨站脚本((XSS)有效载荷。
此利用代码将使受损的WordPress安装宽大地开放。
管理员只需访问或重新加载插件页面即可触发漏洞。
攻击者不需要任何形式的身份验证或特权来触发利用,这足以将其压缩到600字节的有效载荷中。
9月3日,漏洞被分配了跟踪器CVE-2019-15858并定义为中度问题。
国家漏洞数据库警报解释说:“admin/inclust/class.import.snippet.php在2.2.5之前的“ Woody Ad Sippets”插件中,WordPress允许未经验证的选项导入,如存储XSS有效载荷以进行远程代码执行所示。”
可以在Generaleg记录潜在攻击的视频。YouTube。
本文已更新以删除与Woody AD片段2.2.8版有关的段落,该段落旨在解决可能导致JavaScript代码执行的其他插件代码曝光问题。
每日SWbeplay2018官网IG正在调查,但在撰写本文时,尚不清楚该版本或插件2.2.9版的最新更新实际上解决了此问题。
