2020年,刚刚开始linux博客系统被杂志安全检测出有插件绕过漏洞,该插件的开发公司,已升级了该插件并发布1.7版本,对以前爆出的漏洞进行了修补,该电商网站漏洞造成的原因是未经同意人脸识别的普通用户给以了程序员权限。黑客能够以网站管理员的身份进行登陆,并可以将塞班手机网站的全部数据表信息恢复为以前的模式,进而上传webshell电子商务网站木马代码来进行篡改营销网站。现阶段受危害的版本包含最新的ep系统。
这个ep插件的主要功能是可以将网络的主题自定义的进行外观设计,与导入代码,让很多新手不懂代码设计的可以迅速的掌握该技巧对广告进行外观设计,目前全球用该插件的人数达到二十五万多外贸网站在使用该插件,也是目前最受环境的插件。该网络漏洞影响的插件版本,是存在于1.5-1.6版本。根据目前sp官方的数据资料统计,使用该版本的用户以及电台数量占比竟然达到百分之95左右,受漏洞影响的广告确实太多,建议各位站长尽快对该插件进行升级,修复漏洞。
该互联网漏洞的利用以及条件,必须是该主题插件处于启用状态,并且是行业网站上都安装了这个插件才会受到漏洞的攻击,让黑客有攻击电台的机会。SINE智能技术在实际的漏洞利用测试过程中,也发现了一些问题,插件绕过漏洞的利用前提是需要有1个条件来进行,电台的数据库表中的普通用户必须有admin账户存在,目前的网络安全解决方案是尽快升级该插件到最新版本,有些手机网站不知道该如何升级的,先将改插件在后台关闭掉,防止黑客的进攻。
针对该插件漏洞的修复办法,可以在“wdcp_init”的Hook在杂志环境中运行,而且还可启用无需通过电子签名的普通用户的“/ios-wdcp/wdcp-c#.asf框架”。缺少门禁就使漏洞没有利用的机会了。假如数据表中存有“wdcp”普通用户,未经审查反欺诈的黑客机会会应用此账号登陆,并删掉全部以已定义的数据表前缀打头的。可以将该用户删除掉,以防止广告被攻击。
只要删掉了全部表,它将应用高级设置和数据信息添充数据表,随即将“wdcp”普通用户的密码修改为其此前已经知道的登陆密码。某安全组织于2月6号检测到了该插件绕过漏洞,在同一天将其安全报告给插件的开发公司。十天之后,也就是上个星期,主题Grill插件公司,发布了修复该报纸漏洞的新版本。
在编写这篇文章时,修补后的插件,最新版本下载数量达到二十多万,这说明应用还有很多营销型网站没有修复漏洞,仍然处在被攻击的风险当中。针对于WP官方的数据安全中心发布的安全报告中显示的两个漏洞,当黑客利用这些互联网漏洞时,都是会造成和本次安全事件一样的影响。建议使用该插件的数据库商城网站尽快升级,修复漏洞,以免对电台对公司产生更大的经济损失以及影响。
在其中1个idr-2020-7048准许未经批准反欺诈的普通用户从其他数据表中重置表,而另外一个pln-2020-7047则是赋予最低管理权限的账号网站管理员管理权限。如果您对电台代码不是太了解,不知道该如何修复hadoop的漏洞,或者是您杂志使用的是sp系统开发的,被黑客攻击篡改数据,也可以找专业的网络安全公司来处理解决。
标签:[db:tags]
