披露后24小时发行开发人员补丁
WordPress管理员的网站使用页面构建器插件已被敦促在最近发现两个安全漏洞后更新到最新版本(2.10.16)。
本月初,WordFence威胁情报团队发现了两个安全缺陷页面构建器,一个响应式页面创建插件,具有超过100万个活动的安装。
利用的二人组合分开利用跨站点伪造((CSRF)脆弱性,两者都打开了反映的大门跨站脚本(XSS)。
获得CVSS分数为8.8,这对链接漏洞可以使攻击者能够在管理员的浏览器中伪造请求并执行恶意代码,这可能会导致完整的WordPress网站收购。
“此缺陷可用于重定向站点的管理员,创建一个新的管理用户帐户,或如最近针对XSS漏洞的攻击运动中所见,被用来在站点上注入后门。” WordFence解释说。
快速补丁
这两个CSRF-to-to-XSS漏洞都会影响页面构建器版本,直到2.10.15。
幸运的是,该插件SiteOrigin的开发人员很快就会承认这些错误,该公司在短短24小时内就发布了修复程序。
“这些缺陷已在版本2.10.16中进行了完全修补,” Wordfence在A中解释说博客文章。“我们建议用户立即更新到可用的最新版本。”
