漏洞预警:WordPress 储存型 XSS 漏洞

简介:

2017年10月19日,WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制,安全风险为高危。

目前WordPress是全球装机量比较大的CMS系统,建议站长们关注,并尽快开展自查工作,及时更新到最新版WordPress。

漏洞利用条件和方式:

远程利用

PoC状态

目前PoC已经公开

漏洞影响范围:

  • 受影响的版本 WordPress 4.8.1

  • 不受影响的版本 WordPress 4.8.2

安全建议:

  • 目前已经发布最新版本4.8.2 ,建议用户登录到面板点击“更新升级”修复该漏洞;

参考信息:

小科普:

  • 存储型XSS漏洞是什么?

    存储型XSS漏洞具有持久化,被插入的恶意代码是存储在服务器中的,如:在个人信息或发表文章等地方,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行,这种存储类型的XSS漏洞安全风险很高,容易造成蠕虫,盗窃cookie等。

  • 反射型XSS漏洞是什么?

    反射型XSS,它具有非持久化特性,需要欺骗用户自己去点击(用户交互)链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。


本文作者:佚名
来源:51CTO
相关文章
|
1月前
|
安全 网络安全 数据安全/隐私保护
XSS 漏洞可能会带来哪些危害?
【10月更文挑战第26天】XSS漏洞可能会给网站和用户带来诸多严重危害
|
1月前
|
存储 监控 安全
|
3月前
|
安全 JavaScript 前端开发
XSS漏洞的危害
XSS漏洞的危害
59 1
|
1月前
|
存储 JSON 安全
2024全网最全面及最新的网络安全技巧 二 之 CSRF+XSS漏洞的各类利用技巧
2024全网最全面及最新的网络安全技巧 二 之 CSRF+XSS漏洞的各类利用技巧
|
2月前
|
Web App开发 安全 关系型数据库
xss漏洞原理(五)BeEF
xss漏洞原理(五)BeEF
|
2月前
|
安全
xss漏洞原理(五)BeEF
xss漏洞原理(五)BeEF
|
2月前
|
开发框架 安全 JavaScript
xss漏洞原理(四)自动化XSS
xss漏洞原理(四)自动化XSS
|
2月前
|
存储 Web App开发 安全
XSS漏洞原理(三)存储型
XSS漏洞原理(三)存储型
|
2月前
|
安全 Apache PHP
XSS漏洞理由(二)反射型
XSS漏洞理由(二)反射型
|
2月前
|
存储 安全 JavaScript
xss漏洞简介
xss漏洞简介
下一篇
DataWorks