漏洞预警:WordPress 储存型 XSS 漏洞

简介:

2017年10月19日,WordPress 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制,安全风险为高危。

目前WordPress是全球装机量比较大的CMS系统,建议站长们关注,并尽快开展自查工作,及时更新到最新版WordPress。

漏洞利用条件和方式:

远程利用

PoC状态

目前PoC已经公开

漏洞影响范围:

  • 受影响的版本 WordPress 4.8.1

  • 不受影响的版本 WordPress 4.8.2

安全建议:

  • 目前已经发布最新版本4.8.2 ,建议用户登录到面板点击“更新升级”修复该漏洞;

参考信息:

小科普:

  • 存储型XSS漏洞是什么?

    存储型XSS漏洞具有持久化,被插入的恶意代码是存储在服务器中的,如:在个人信息或发表文章等地方,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行,这种存储类型的XSS漏洞安全风险很高,容易造成蠕虫,盗窃cookie等。

  • 反射型XSS漏洞是什么?

    反射型XSS,它具有非持久化特性,需要欺骗用户自己去点击(用户交互)链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。


原文发布时间为:2017-10-20

本文作者:佚名

本文来自云栖社区合作伙伴51CTO,了解相关信息可以关注51CTO。
目录
相关文章
|
安全 前端开发 JavaScript
信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级)
信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级)
198 0
|
4天前
|
存储 Web App开发 安全
XSS漏洞原理(三)存储型
XSS漏洞原理(三)存储型
|
5月前
|
安全 开发工具 git
xss漏洞工具 -- xsser
xss漏洞工具 -- xsser
134 0
|
5月前
|
云安全 安全 中间件
如何确认网站是否有漏洞,如何找出网站存在的漏洞,找到漏洞该如何处理
如何确认网站是否有漏洞,如何找出网站存在的漏洞,找到漏洞该如何处理
如何确认网站是否有漏洞,如何找出网站存在的漏洞,找到漏洞该如何处理
|
存储 SQL 监控
某xxphp网站后台存储型XSS漏洞分析
某xxphp网站后台存储型XSS漏洞分析
|
SQL 开发框架 安全
ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
649 0
ThinkPHP5 SQL注入漏洞 && 敏感信息泄露
|
安全 Linux PHP
网站被攻击怎么办 如何查找网站漏洞攻击源
很多企业网站被攻击,导致网站打开跳转到别的网站,尤其一些彩票等非法网站上去,甚至有些网站被攻击的打不开,客户无法访问首页,给客户造成了很大的经济损失,很多客户找到我们SINE安全公司寻求防止网站被攻击的解决方案,针对这一情况,我们安全部门的技术,给大家普及一下网站被攻击后该如何查找攻击源以及对检测网站存在的漏洞,防止网站再次被攻击。
245 0
网站被攻击怎么办 如何查找网站漏洞攻击源
|
Web App开发 JavaScript 安全
Orkut 也遭到 XSS 攻击,18 万用户受影响
  继twitter遭到XSS漏洞袭击之后,Orkut也中招了。Bug发现者Infopod的Diogok说他们已经将这个可通过HTML注入代码进行XSS攻击的漏洞并报告给Orkut,尽管Diogok已经停止了攻击,但其他用户并未停手,而且纷纷开始推送大量非法代码。
799 0
|
SQL 算法 安全
php网站漏洞检测对sql注入漏洞防护
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。
2107 0
|
安全 PHP 数据安全/隐私保护
网站有漏洞被攻击篡改了数据该怎么修复解决
2019年1月14日消息,thinkphp又被爆出致命漏洞,可以直接远程代码执行,getshell提权写入网站木马到网站根目录,甚至直接提权到服务器,该漏洞影响版本ThinkPHP 5.0、ThinkPHP 5.0.10、ThinkPHP5.0.12、ThinkPHP5.0.13、ThinkPHP5.0.23、thinkphp 5.0.22版本。
3103 0