1月16日 消息:據(jù)zdnet報(bào)道，WordPress的兩個(gè)插件 InfiniteWP Client和 WP Time Capsule被曝出現(xiàn)嚴(yán)重的安全漏洞，估計(jì)有 32 萬個(gè)網(wǎng)站容易被利用攻擊。

這兩個(gè)插件被用于在一服務(wù)器上管理多個(gè)WordPress網(wǎng)站，并在發(fā)布更新時(shí)為文件和數(shù)據(jù)庫條目創(chuàng)建備份。WebArx的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，代碼中存在邏輯問題，允許他人無需密碼即可登錄管理員帳戶。

根據(jù)WordPress插件庫數(shù)據(jù)，InfiniteWP活躍在超過300， 000 個(gè)網(wǎng)站，而WP Time Capsule在至少活躍在20， 000 個(gè)網(wǎng)站上。

周二，研究小組表示，影響InfiniteWP 1.9.4. 5 以下版本的邏輯問題意味著，使用 JSON 和 Base64 編碼的 POST 請(qǐng)求有效負(fù)載可以繞過密碼請(qǐng)求，只需知道管理員的用戶名即可登錄。

而在1.21. 16 以下的WP Time Capsule版本中，函數(shù)行中的問題可以通過在原始POST請(qǐng)求中添加一個(gè)精心設(shè)計(jì)的字符串來調(diào)用一個(gè)函數(shù)，該函數(shù)獲可取所有可用的管理員帳戶，并作為列表中的第一個(gè)管理員登錄。

1 月 7 日，WebArx 向這兩款插件的開發(fā)者報(bào)告了這些漏洞，開發(fā)者迅速作出反應(yīng)，并在一天后發(fā)布軟件更新。Webarx建議網(wǎng)站管理員盡快安裝更新避免遭受攻擊，因?yàn)榉阑饓ΡＷo(hù)將不起作用。