东方时讯网安全研究人员声称,数以万计的WordPress网站容易受到流行插件中发现的多个高严重性缺陷的影响。
PatchStack的专家在LearnPress中发现了三个漏洞,LearnPress是一个学习管理系统插件,可以让几乎没有编码知识的人通过他们的WordPress网站销售在线课程和课程。
针对网站构建器漏洞的补丁已经发布了一个多月,但研究人员警告说,到目前为止,只有(相当大的)少数人应用了它。
有可用的修复程序
这三个漏洞是CVE-2022-47615,该漏洞允许威胁参与者查看凭据、身份验证令牌、API密钥等;CVE-2022-45808是一个未经身份验证的SQL注入漏洞,可以执行任意代码,CVE-2022-45820是一个经过身份验证的SQL注入漏洞,也可能导致数据泄露和任意代码执行。
PatchStack在2022年11月30日至12月2日期间发现了这些漏洞,并很快将其报告给了LearnPress。该公司于12月20日返回修复程序,将LearnPress升级到4.2.0版。然而,BleepingComputer援引Wordpress.org统计数据报道称,到目前为止,只有25%的网站更新了该插件。
鉴于目前大约有100,000个网站正在积极使用该插件,这将使仍然易受攻击的网站总数达到大约75,000个。由于这些是具有严重后果的高严重性缺陷,因此敦促网络管理员立即应用补丁,或禁用插件直到他们这样做。
WordPress是世界上最受欢迎的网站构建平台,因此,它是网络犯罪分子的一个有吸引力的目标。虽然WordPress本身相对安全(只有不到1%的WP相关缺陷落在该平台上),但其插件(更确切地说是免费插件)通常是最薄弱的环节。虽然它们为平台带来了无数的额外功能,但网站管理员最重要的是选择正确的功能并确保它们始终更新。