在最新的WordPress教程系列中,我们将探讨三个知名的WordPress插件中存在的严重安全漏洞,这些漏洞已对超过84,000个网站构成威胁。Wordfence,一家专业的WordPress安全公司,近期揭示了一个名为CVE-2022-0215的高危跨站请求伪造(CSRF)漏洞,根据通用安全漏洞评分系统(CVSS),该漏洞被评为8.8分,具有极高的危险性。
最初,Wordfence的安全研究团队在2021年11月5日于登录/注册弹出插件中检测到了这一问题,并随后启动了公开披露流程。不久后,同一漏洞被发现在Cart WooCommerce (Ajax)插件和WAItlist Woo Commerce (Back in Stock Notifier)插件中。攻击者可能利用此漏洞,诱使网站管理员执行恶意操作,从而更改网站设置。
具体来说,攻击者可以触发AJAX操作,如果管理员未经察觉地点击了含有恶意链接的邮件或者访问了被操纵的页面,而此时他们已经登录了目标网站,那么攻击者就能成功发送请求并执行任意操作,比如将网站的“users_can_register”选项设置为允许,并将新用户的默认角色设定为管理员,从而实现对网站的完全控制。
Wordfence指出,受影响的三个插件均由Xootix开发和维护,分别是:
1. 登录/注册弹出插件(超过20,000次安装)
2. 侧面购物车Woocommerce (Ajax)插件(超过4,000次安装)
3. Waitwoo commerce (库存恢复通知)插件(超过60,000次安装)
这三个插件旨在提升WooCommerce网站的功能,如添加登录注册弹出窗口、产品等待列表和缺货通知,以及提供全站范围的购物栏支持。
为了保护你的网站,Wordfence建议所有用户立即检查并确保已安装了这些插件的最新安全补丁版本,即登录/注册弹出插件的2.3版、Waitlist Woocommerce插件的2.5.2版和Side Cart Woocommerce插件的2.1版。
请继续关注更多关于此高危漏洞的详细信息和其他相关的WordPress安全文章!
相关文章
