- A+
所属分类:WEB安全
一家芬兰的IT公司公布了一个WordPress 3网站的漏洞,该漏洞可以用来对网站访问者的浏览器推送各种各样的恶意脚本攻击。根据目前的WordPress的数据统计,该漏洞可能会影响多达86%的现有的WordPress网站。
该漏洞被Jouko Pynnonen of Klikki Oy发现,允许攻击者精心构造一个包含恶意JavaScript代码的博文评论。WordPress网站默认设置评论不需要通过身份验证,这导致WordPress站点允许任何人在评论帖子插入可能攻击站点访问者或管理员的恶意脚本。Klikky Oy做了个概念性的验证,可以劫持WordPress站点管理员的会话,并创建一个新的WordPress的密码已知的管理账户,更改现有管理员密码,上传恶意PHP代码到服务器上。这意味着攻击者基本可以上锁定站点管理员,恶意劫持的WordPress安装。
9月份发布的WordPress的当前版本(版本4.0),不会受影响。