两款插件漏洞被利用,近20万WordPress站点还没更新

有推荐 2019-03-27 218 次浏览 10 条评论

流量排名前一千万网站中,三分之一使用的是 WordPress,而有两个插件漏洞正在被攻击者利用来入侵托管站点,影响非常大。

这两个插件是:Easy WP SMTPSocial Warfare

Easy WP SMTP

最早由安全公司 NinTechNet 报导了其被利用进行攻击,数据显示有 300000+ 次下载安装。

Social Warfare

另一个插件是 Social Warfare,已经被安装了 70000+ 次,它的利用是由另一家安全公司 Defiant 披露的。

两个插件漏洞都允许攻击者在受攻击的网站上创建恶意管理员帐户。据 Defiant 报导,有两个竞争组织正在实施攻击,其中一个在创建管理员帐户后暂时停止操作,而另一个组织则会进行后续步骤,其会使用虚假帐户更改站点,将访问者重定向到恶意站点。

有趣的是,这两个攻击组织使用了相同的代码用于创建管理员账户,而且这些代码源于最初 NinTechNet 在披露插件漏洞时使用的概念验证代码。

据 arstechnica 的报导,虽然开发人员已经针对这两个被利用的漏洞发布了安全补丁,但是下载数据表明许多易受攻击的网站尚未安装更新,Easy WP SMTP 在过去 7 天内的下载量仅为 135 000 次,而 Social Warfare 补丁自周五发布以来,也仅被下载了少于 20 000 次。

安全事大,如果你的网站正在使用 WorPress 上,并且使用了这两个插件中的任一一个,那么请务必将上述的两个插件版本确保已更新为最新版本

插件链接地址:Easy WP SMTP / Social Warfare

广告
广告

10 条评论

  1. 我感觉自己从来不会自己更新这些插件的什么东西~~都是自己升级,是时候折腾了~~

    • snap_up

      心很宽啊!!

  2. Easy WP SMTP 我之前也用過 後來換成代碼版了~

    • snap_up

      撸代码的能力不足……所以只好用插件来解决问题,哈哈。

      • 我也是百度找的質料哈哈!你這個評論有BUG啊 提交後就提示找不到頁面 從郵件哪裏過來看評論也是提示頁面不存在

        • snap_up

          现在你在试一下看看,会不会出现页面不存在的?

          • 好了耶!大佬這麽快就修復了

            • snap_up

              我都不知道我点了些什么!关闭了一下插件,刷新了一下缓存,然后就莫名其妙的ok了。
              -_-|||

  3. 我前些天刚装的Easy WP SMTP,为了评论后给大家发邮件通知。

发表评论

电子邮件地址不会被公开。 必填项已用*标注