欢迎光临GGAMen游戏资讯




WordPress 严重漏洞修补后未第一时间公告,但仍有骇客趁机发动攻击

2024-11-25 210

开源的内容管理软件 WordPress,被不少公司、团体、个人采用,做为架设部落格甚至网站的工具。但是 WordPress 却被传出好几个漏洞。但是 WordPress 官方最初公告有 3 个修补,其实有个最严重的漏洞也有修补了,但是基于资安防护理由,未对外公开。

WordPress 修补的 4 个资安漏洞,像是跨站脚本攻击、SQL 注入攻击。所幸最新版本的 WordPress 4.7.2 修补上述为数众多的漏洞,其中最严重的部分是 WordPress REST API 的漏洞,能让骇客不必登入,就能够远端增加、减少、修改网站内容。这个严重漏洞并未第一时间告知大家,也在这次更新之中,深怕骇客知道之后,趁还有没更新的站台时大举入侵。WordPress 打算先让大部分的 WordPress 站台的自动更新机制发挥作用。

根据回报的资安公司 Sucuri 人员 Marc-Alexandre Montpas 在 2 月 1 日发布的文章说法,网站使用 WordPress 4.7.0 升级之后,就有这个未第一时间表明的漏洞。他发现该漏洞之后,在 1 月 20 日通知 WordPress,着手提供修补。另外还有观察网络上是否有不肖人士利用该漏洞,通知资安公司和网站空间服务商。1 月 26 日 WordPress 发布新的 4.7.2 版本,公布修补 3 个漏洞,但其实最严重的漏洞也有一并修补,但为了避免让骇客知道这个严重的漏洞,先压下来不对外发布,避免骇客利用资讯差,对未更新的网站发动攻击。

▲ 从漏洞被发现后累积的数量。(Source:Sucuri)

尽管 WordPress 在 4.7.2 释出的更新已经修补漏洞,而且也没有第一时间全面告知,而是先修补等待大家都更新软件才公开。根据 Sucuri 的另一篇文章指出,有骇客组织运用 WordPress REST API 的漏洞,发动 4 波 SEO Spam 攻击。其中 w4l3XzY3 这一波攻击造成超过 66,000 个页面遭到修改,其他 3 波攻击规模就小,只有 500 多个页面受到影响。

▲ 用 Google 查询 w413XzY3 的 SEO spam 数量,有 66,000 个页面受影响。(Source:Sucuri)

许多人使用的 Google Search Console,原先叫 Google Webmaster,有发讯息提醒旗下网站要赶紧升级 WordPress 版本,但用词不当引起误会了。尽管 Google 是好意提醒,但是很多已经升级的网站却被搞得很紧张,因为很多收到通知的人并不是那么熟技术。

资安漏洞常常会出现,因此软件不时会释出修补程式。对使用者来说可是要时时紧盯软件是否有最新的版本,假若是重大更新可要赶快升级。

相关连结

  • Google Makes WordPress Site Owners Nervous Due to Confusing Security Alerts
  • Critical WordPress update fixes zero-day flaw unnoticed
  • Thousands of WordPress websites defaced through patch failures
  • Attackers Capitalizing on Unpatched WordPress Sites
2019-03-22 16:30:00

标签:   游戏头条 资讯头条 ggamen科技资讯 ggamen科技 ggamen科技资讯头条 科技资讯头条 ggamen游戏财经 新闻网 科技新闻网 科技新闻 ggamen ggamen游戏新闻网 科技新闻 科技新闻网 新闻网 ggamen游戏财经 科技资讯头条 ggamen科技资讯头条 ggamen科技 资讯头条 ggamen 科技新闻 科技新闻网 新闻网 ggamen游戏财经 科技资讯头条 ggamen科技资讯头条 ggamen科技资讯 资讯头条 游戏头条
0