Word Press 插件存在漏洞 黑客可获得管理员权限

Word Press插件Theme Grill Demo Importer的漏洞被修复，影响将近20万个网站，该插件可以利用漏洞清除网站数据库并获得管理员权限。管理员可对演示内容等进行内部设置。

网络安全公司Web ARX研究人员近期发现：该插件的1.3.4到1.6.1版本受一个关键漏洞影响，漏洞可允许未经身份验证的攻击者擦除Word Press网站的整个数据库，而该公司研究人员发现该漏洞已经存在三年。

据了解，该插件存在的漏洞会导致数据库进行默认设置和数据填充，如果数据库中包含名为“admin”的用户，攻击者则利用漏洞会以管理员身份自动登录。

此外，Web ARX的首席执行官Oliver Sild 表示：并非所有安装了Theme Grill Demo Importer的Word Press网站都容易受到攻击，若想要利用该漏洞，必须安装使用插件。他们公司会提供漏洞检测和虚拟补丁软件，以保护网站免受第三方组件漏洞的攻击，也可利用Theme Grill漏洞实现自动化。

该漏洞已于2月6日报告给Theme Grill开发人员，并于2月16日通过1.6.2版进行了修补。

消息来源：securityweek， 译者：dengdeng，校审：吴烦恼
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接