WordPress极简博客 WordPress极简博客
  • 新鲜事
  • 战疫情
  • UI素材
    • UI素材
    • 电商/节日
    • PPT
      • 节日庆典
      • 工作汇报
      • 商业计划书
    • word
      • 简历竞聘
      • 合同/公文
  • 创客头条
    • 音乐分享
    • 初创文章
    • 极客头条
    • 数码解说
    • 生活趣事
    • 生活日记
  • 全球科技
    • 新浪博客
    • A5资讯
    • 环球网新闻
  • 编程教学
    • Linux安全栏目
      • Linux运维安全汇总
      • DDOS攻击防护
      • XSS攻击防护
      • SQL安全防护
    • Python技术栏目
      • Python基础入门
      • Python基础结构
    • WordPress技术栏目
      • WP主题
      • WordPress技术教程
      • RIPRO主题美化
    • WordPress漏洞发布
    • 技术教程汇总
  • 专题
  • 基友
  • 隐私
  • 云优化
  • 注册
    登录
立即登录
  • 首页
  • 云优化
  • 新疫情
  • 新鲜事
    • 热文
    • 极客
    • 生活
  • 技术篇
    • WP主题
    • 技术教程
    • Python入门
    • Python基础
  • 专题篇
  • 友链君

Real-Time Find and Replace 插件存在严重的安全漏洞

夏柔4月 28, 2020

Real-Time Find and Replace 是一个可以实时查找和替换网站数据的插件,不过倡萌还是推荐使用 Better Search Replace 来一次性查找和替换,不必一直启用插件。

最近Real-Time Find and Replace低于3.9的版本爆了一个非常严重的跨站点请求伪造(CSRF)漏洞,攻击者可以利用插件的功能,用恶意代码替换目标站点上的任何内容,恶意重定向用户到任何网址,还可以创建管理员账号。

该漏洞由 Wordfence威胁分析师Chloe Chamberland发现,根据Chamberland的说法,“当用户导航到包含原始内容的页面时,”该JavaScript代码将自动执行。

例如,攻击者可能滥用此漏洞,用其恶意代码替换<head>之类的HTML标记,这将导致被攻击的WordPress网站上的几乎所有页面都转换为恶意工具,并在成功利用后导致严重影响的攻击。

根据Chamberland的报告,恶意代码然后可以“被用来注入新的管理用户帐户,窃取会话Cookie或将用户重定向到恶意站点,从而使攻击者能够获得管理访问权限或感染浏览受感染站点的无辜访客”。

Real-Time Find and Replace 插件存在严重的安全漏洞-WordPress极简博客
为了在网站数据发送到站点访问者的浏览器之前替换内容,“该插件注册了一个与功能far_options_page绑定的子菜单页面,并具有对activate_plugins的功能要求,” Chamberland解释说。她补充说:“far_options_page函数包含插件功能的核心,用于添加新的查找和替换规则。”

“不幸的是,该功能未使用随机数验证,因此在规则更新期间未验证请求源的完整性,从而导致跨站点请求伪造漏洞。”

该漏洞已于4月22日发现并报告,Real-Time Find and Replace的开发人员在首次披露报告后的几个小时内就发布了补丁版本。

Wordfence使用CVSS评分8.8对该安全漏洞进行了评级,说明它是一个非常高的安全问题,所以,如果你有在使用Real-Time Find and Replace插件,请立即升级到最新的版本:http://wp101.net/plugins/real-time-find-and-replace/

本站下载:

Real-Time Find and Replace
新版本下载
#Real-Time Find and Replace#插件漏洞#漏洞
2
等 2 人赞过
分享
夏柔 站长
文章 708评论 23
赞赏
夏柔
相关文章
  • 自定义onion域名
  • 宝塔linux面板一键工具箱
  • 7种提高代码阅读能力的方法
  • 保护你的WordPress,修改服务器默认用户名root
  • Python多线程扫描端口
  • ThnBo-一款针对WordPress开发的缩略图美化插件,为广大站长提供缩略图的美化便利
  • WordPress去除index.php的方法
  • WordPress美化-文字渐变特效
  • WordPress美化-抖动图片
  • 使用HBuilderX封装H5
14 3月, 2020
教你如何获取目标计算机的IP地址
夏柔
站长
夏山如碧 - 怀柔天下
708文章
23评论
58144K获赞
版权声明

文章采用创作共用版权 CC BY-NC-ND/2.5/CN 许可协议,与本站观点无关。

如果您认为本文侵犯了您的版权信息,请与我们联系修正或删除。
投诉邮箱wpsite@aliyun.com

栏目推荐
Python基础入门30
WordPress技术教程265
前沿技术情报所7
城市创新——新消费8
最近有哪些不可错过的热文5
程序员的养生之道0
疫情实况
石家庄52例确诊详情:含多名小学生
1月 18, 2021
黑龙江新增7例确诊 81例无症状
1月 18, 2021
31省新增本土确诊93例:河北54例
1月 18, 2021
更多
每日快讯
石家庄52例确诊详情:含多名小学生
1月 18, 2021
黑龙江新增7例确诊 81例无症状
1月 18, 2021
牛羊肉价格每公斤超74元
1月 18, 2021
男子辱骂防疫人员:你侵犯我隐私
1月 18, 2021
栖霞金矿事故被困工人传回纸条
1月 18, 2021
31省新增本土确诊93例:河北54例
1月 18, 2021
氧气告急 巴西民众排队领购氧气
1月 17, 2021
全国大部地区下周将开启升温模式
1月 17, 2021
更多
  • 新鲜事
  • 疫情实况
  • UI素材
  • 技术教程
  • 音乐分享
  • 专题
  • 友情
  • 隐私
  • 云优化
Copyright © 2019-2021 WordPress极简博客. Designed by 骚老板. 辽公网安备21010502000474号