WordPress4.8.1版本存在XSS跨站攻击漏洞

简介:

art98

2017年10月19日,阿里云安全威胁情报系统监测到WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制,安全风险为高危。
阿里云安全建议站长们关注,并尽快开展自查工作,及时更新WordPress。
具体详情如下:

漏洞编号:
暂无
漏洞名称:
WordPress储存型XSS漏洞
官方评级:
高危
漏洞描述:
该漏洞影响WordPress4.8.1版本,攻击者可以未授权通过WordPress的评论注入JavaScript攻击代码。评论被查看的时候,JavaScript就触发了。如果管理员登陆查看评论触发后,可能导致攻击者进入后台通过主题或插件编辑从而命令执行控制整个服务器,安全风险为高危
漏洞利用条件和方式:
远程利用
PoC状态:
目前PoC已经公开
漏洞影响范围:
受影响的版本 WordPress 4.8.1
不受影响的版本 WordPress 4.8.2
漏洞检测:
开发或运维人员排查是否使用了受影响版本范围内的WordPress。
漏洞修复建议(或缓解措施):

目前已经发布最新版本4.8.2 ,建议用户登录到面板点击“更新升级"修复该漏洞;

用户进入WordPress后台页面,选择“仪表盘”,可一键更新至WordPress最新版本。
art97

4.8.1版本WordPress用户若不想升级,可以关闭所有文章页面的评论;

打开所用主题的function.php文件,将以下代码添加进文件中,保存后重新上传到服务器。

//禁用页面的评论功能
function disable_page_comments( $posts ) {
if ( is_page()) {
$posts[0]->comment_status = 'disabled';
$posts[0]->ping_status = 'disabled';
}
return $posts;
}
add_filter( 'the_posts', 'disable_page_comments' );

使用阿里云服务器,启用阿里云安全WAF可 支持该漏洞防御。购买阿里云服务器同时可领取幸运券享受优惠活动

阿里云服务器优惠券领取:点击领取

小科普:
存储型XSS漏洞是什么?
存储型XSS漏洞具有持久化,被插入的恶意代码是存储在服务器中的,如:在个人信息或发表文章等地方,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行,这种存储类型的XSS漏洞安全风险很高,容易造成蠕虫,盗窃cookie等。
反射型XSS漏洞是什么?
反射型XSS,它具有非持久化特性,需要欺骗用户自己去点击(用户交互)链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。

目录
相关文章
|
4天前
|
存储 安全 JavaScript
26、XSS漏洞介绍
26、XSS漏洞介绍
12 0
|
4天前
|
存储 安全 JavaScript
小课堂 -- XSS漏洞介绍
小课堂 -- XSS漏洞介绍
12 0
|
1月前
|
存储 JSON 前端开发
【面试题】XSS攻击是什么?
【面试题】XSS攻击是什么?
|
4月前
|
存储 安全 JavaScript
渗透攻击实例-xss跨站脚本攻击
渗透攻击实例-xss跨站脚本攻击
|
4天前
|
存储 安全
第二轮学习笔记:XSS跨站脚本漏洞
第二轮学习笔记:XSS跨站脚本漏洞
6 0
|
4天前
|
安全 开发工具 git
xss漏洞工具 -- xsser
xss漏洞工具 -- xsser
12 0
|
4天前
|
存储 安全 JavaScript
HW常见攻击方式 --XSS跨站脚本攻击
HW常见攻击方式 --XSS跨站脚本攻击
9 0
|
1月前
|
存储 开发框架 安全
如何处理预防XSS漏洞攻击问题
防止XSS攻击需要从多个方面入手,包括输入验证和过滤、输出编码、设置正确的HTTP头部、使用最新的安全框架和库、定期进行安全审计和漏洞扫描以及培训和意识提升等。只有综合运用这些措施,才能有效地防止XSS攻击,保护网站和用户的安全。
|
1月前
|
安全 JavaScript 前端开发
Python 的安全性和测试:解释什么是 XSS 和 CSRF 攻击?在 Python 中如何防范这些攻击?
Python 的安全性和测试:解释什么是 XSS 和 CSRF 攻击?在 Python 中如何防范这些攻击?
|
2月前
|
存储 安全 JavaScript
百度搜索:蓝易云【HTTP/HTTPS以及XSS攻击详解。】
综上所述,HTTP是一种用于在Web上传输数据的协议,而HTTPS是HTTP的安全版本,通过加密和身份验证确保通信的安全性。XSS攻击是一种利用Web应用程序的安全漏洞在用户浏览器上执行恶意脚本的攻击。
39 1