快更新 舊版WordPress有嚴重漏洞

快更新  舊版WordPress有嚴重漏洞

快更新 舊版WordPress有嚴重漏洞

芬蘭資安業者Klikki Oy發現知名的免費架站平台WordPress 3版本含有重大安全漏洞,駭客可以利用跨站指令碼(Cross-site scripting, XSS)攻擊接管網站管理員的權限,進而在網站上注入各種惡意程式。

根據WordPress今年11月的估計,目前3.x版使用率約占WordPress的85.6%,因此全球可能超過5000萬個WordPress網站受到該漏洞影響,建議使用者立即更新到最新版的WordPress版本。發現這個漏洞的Klikki Oy研究人員Jouko Pynnonen表示,該漏洞允許駭客在特定的文字欄位中注入程式碼,通常是WordPress網站上文章或網頁的評論區域,WordPress上的預設值為任何人都可以評論或回應,而且不需登入或驗證。

駭客能夠在回應中注入夾雜程式碼的內容,當目標對象透過管理員儀表板讀取該評論時,就會觸發惡意程式以接管管理員的帳號,之後便能執行各種管理員權限,包括更改管理員密碼、建立新的管理員帳號,甚至在伺服器上執行攻擊程式。
Klikki Oy已開發出概念性攻擊程式,指出此一漏洞讓駭客不需登入就能嵌人惡意程式,同時還能造成伺服器傷害,這也是WordPress自2009年以來最嚴重的漏洞。

WordPress官網在釋出WordPress 4.0.1的說明中表示,這次版本釋出屬重大的安全更新,建議所有較舊的WordPress版本都立即更新。3.9.2 以及更早之前的WordPress 版本都受到跨站指令碼漏洞所影響,可讓匿名使用者感染網站。該漏洞是由Jouko Pynnonen所發現。

雖然WordPress 4.0不受該漏洞影響,但4.0.1另外解決了23隻臭蟲,共八項的安全問題。此外,Klikki Oy也對於未能更新或升級的WordPress用戶提出暫時解決方案,建議網站可以關閉Texturize功能,同時也釋出外掛程式以協助網站關閉該功能。WordPress是在2010年6月釋出WordPress 3.0版本出差錯,顯示該漏洞已存在4年,影響3.0~3.9.2,4.0,不過,此一漏洞並未波及去年9月發表最新的4.0版。

瀏覽數 : 272
作者:吳思瑩
發文時間:2015/03/26

新聞探討

  • (600字以內)
留言身份 :
相關新聞
Related News
熱門活動
Hot Event
知識百科
Knowledge Info