网站安全预警!WordPress 的储存型 XSS 高危漏洞曝光
程序员文章站
2022-06-23 12:07:22
WordPress是使用PHP语言开发的一个博客平台,并且能在支持PHP和MySQL数据库的服务器上来架设自己的网站,它同时也可以作为一个内容管理系统来使用。其丰富的功能和管理系统的便捷性使其...
WordPress是使用PHP语言开发的一个博客平台,并且能在支持PHP和MySQL数据库的服务器上来架设自己的网站,它同时也可以作为一个内容管理系统来使用。其丰富的功能和管理系统的便捷性使其大受广大用户欢迎。然而近期WordPress官网则发布了一条安全通告,通告中表示WordPress 4.8.1版本中被发现具有一个存储型XSS漏洞,被定义为高危级别。
据了解该漏洞危险性十分强,攻击者能够利用该漏洞攻击网站,在受影响的网站评论区写下含有恶意代码的留言,只要该留言的页面被打开或点击,其内含的恶意代码就会自动执行,攻击网站并且导致网站权限、插件被篡改,更甚者还会导致系统掌控权被完全交出,危险性极高。目前WordPress作为全球装机量很高的CMS系统,希望各位网站负责人尽快做出应对措施,关注官网的通知。
存储型XSS漏洞一直以来都以持久化著称,留在评论区的恶意代码是存储在服务器当中的,例如个人信息或文章发表之处,所以一旦没有过滤完全,它们就会进入到服务器当中,但用户访问该页面时就会触发恶意代码的执行。故这种存储型的XSS漏洞安全风险等级很高,能很轻易的就造成蠕虫、cookie盗窃的情况出现。
目前已知的该高危漏洞影响的版本有WordPress 4.8.1,而WordPress 4.8.2版本则不受影响。建议所有受影响的WordPress 4.8.1用户尽快登录到面板,更新升级系统来达到修复改漏洞的目的。