压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

最近，研究人員在wordpress的兩個(gè)常用插件中發(fā)現(xiàn)了兩個(gè)0day漏洞，這兩個(gè)插件分別是?Social Warfare社會(huì)化分享插件和Easy WP SMTP插件，兩個(gè)插件均被上萬個(gè)網(wǎng)站使用，已知兩個(gè)0day漏洞均在野外被利用，請(qǐng)受影響的網(wǎng)站盡快升級(jí)至最新版本。

Social Warfare社會(huì)化分享插件0day漏洞在野外被利用

WordPress Social Warfare插件的易受攻擊版本目前已安裝在70,000多個(gè)網(wǎng)站上。?這個(gè)?跨站點(diǎn)腳本（XSS）漏洞被主動(dòng)利用來添加惡意重定向。該漏洞已經(jīng)通過3.5.3版本的插件得到修復(fù)。

研究人員說：

“該漏洞允許攻擊者將惡意JavaScript代碼注入到網(wǎng)站帖子中的社會(huì)化分享鏈接。?被攻陷的WordPress網(wǎng)站的訪問者被重定向到惡意網(wǎng)站中（即色情，技術(shù)支持詐騙網(wǎng)站等），攻擊者通過cookie跟蹤他們的活動(dòng)。

WordPress Social Warfare插件的開發(fā)團(tuán)隊(duì)證實(shí)，攻擊者正在積極利用這個(gè)0day漏洞在野外攻擊。?還未更新Social Warfare插件的用戶必須禁用它。?插件庫中該插件的下載歷史記錄顯示，在0day漏洞發(fā)布后記錄的下載量約為21,000，也就是說仍有數(shù)萬個(gè)網(wǎng)站仍在運(yùn)行存在漏洞的插件版本。

Easy WP SMTP插件有超過300,000個(gè)網(wǎng)站安裝

“?Easy WP SMTP?”插件，有超過300,000個(gè)網(wǎng)站安裝使用。該插件的主要功能是讓網(wǎng)站所有者配置其站點(diǎn)服務(wù)器的外發(fā)電子郵件的SMTP設(shè)置。

3月15日，NinTechNet?首次發(fā)現(xiàn)利用這個(gè)零日的攻擊，?并將該問題報(bào)告給了插件開發(fā)者，該開發(fā)者在3月17日星期日修補(bǔ)了零日，發(fā)布了v1.3.9.1。?但攻擊仍在進(jìn)行，黑客試圖在網(wǎng)站所有者應(yīng)用補(bǔ)丁之前盡可能多地入侵網(wǎng)站。

另外，網(wǎng)絡(luò)安全公司Sucuri今年發(fā)布的一份報(bào)告顯示，90％的黑客內(nèi)容管理系統(tǒng)（CMSes）都是WordPress網(wǎng)站。

參考鏈接：

https://www.zdnet.com/article/zero-day-in-wordpress-smtp-plugin-abused-by-two-hacker-groups/

https://securityaffairs.co/wordpress/82790/hacking/social-warfare-plugin-zeroday.html?utm_source=dlvr.it&utm_medium=twitter

原文鏈接：http://toutiao.secjia.com/article/page?topid=111324