【摘要】 WordPress用户可能要仔细检查其扩展名。WebARX昨天报道说,ThemeGrill Demo Importer中的一个缺陷可以帮助用户安装由ThemeGrill制作
WordPress用户可能要仔细检查其扩展名。WebARX昨天报道说,ThemeGrill Demo Importer中的一个缺陷可以帮助用户安装由ThemeGrill制作的高级主题,该缺陷可以帮助用户安装网站。
WebARX昨天表示,超过20万个网站安装了该扩展名。但是,自该报告以来,该数字已迅速下降,WordPress插件存储库目前表示已在100,000多个网站上使用。
WebARX说,利用ThemePress Demo Importer中的漏洞的攻击者能够将整个数据库清除到默认状态,之后他们将以管理员身份自动登录到目标网站。
不幸的是,根据WebARX的说法,防火墙无法检测到该漏洞,因为它不需要看上去可疑的有效载荷。WordPress用户捍卫自己的最简单方法是更新ThemeGrill Demo Importer或将其完全删除。
ThemeGrill似乎尚未在其网站,博客或社交媒体帐户上认可WebARX的报告。我们已与该公司联系,以获取有关该漏洞的更多信息,如果得到答复,我们将更新此帖子。
尽管缺乏公众意见,WebARX表示ThemeGrill确实在2月16日发布了扩展的更新程序,以解决此漏洞。这是个好消息,特别是因为每个WebARX都在积极利用此安全漏洞。
不可否认,将200,000个网站置于风险之中是一个严重的问题,但是绝大多数WordPress用户不必担心此漏洞。据说该平台可为35%的网络提供动力;200,000个站点几乎是空无一物。