服务器谨防_傲盾DDoS防火墙_免费试用-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防火墙 > 服务器谨防_傲盾DDoS防火墙_免费试用

服务器谨防_傲盾DDoS防火墙_免费试用

小墨安全管家 2022-06-23 10:46 CC防火墙 89 ℃
DDoS防御

然而,当治理员或具有审批权限的其他用户打开帖子并单击"保存"或"预览"或等待脚够长时刻触发WordPress自动保存功能时,DDoS防御,流氓HTML加JavaScript将在受害者扫瞄器中解码和执行。

服务器谨防_傲盾DDoS防火墙_免费试用

在对我们的Sucuri防火墙(WAF)举行定期调查审计期间,CC防御,我们发觉了一具阻碍WordPress 4.8.1的基于源代码的存储跨站点足本(XSS)漏洞。

XSS向量能够调用执行跨站点请求伪造(CSRF)攻击的外部足本。经过代表治理员用户,攻击者能够发送通过身份验证的请求来编辑网站当前的PHP代码,从而导致远程命令执行(RCE)和彻底接管。

结论

技术细节

尽快更新WordPress安装。假如您有自动更新启用在您的WordPress网站上被入侵,您应该基本使用了最新版本,同时如今能够免受此漏洞的爱护。

经过使用编辑器的特定功能,DDoS防御,以及文章或主题中精心编制的XSS负载,一旦提交审查(由具有更高角色的用户完成),CC防御,负载将被存储(已消毒)在数据库中。

假如您以为您的WordPress网站被入侵,您能够遵循我们的免费DIY清理指南。

除了大概劫持受害者的用户帐户(除其他外),假如治理员用户被利用,整个WordPress安装和底层服务器大概彻底受损。

作为概念的有限证明(PoC),我们能够直截了当在编辑器的文本选项卡中插入XSS有效负载:

显示假如在编辑器中绕过清理例程,则能够执行JavaScript。

这是一具严峻的漏洞,能够以不同的方式被误用以危害易受攻击的网站。

您有风险吗?

当点击预览按钮时,它会即将执行:

该漏洞出如今WordPress编辑器中,负责创建和编辑所有WordPress帖子、页面,和主题(在bbPress中)。

该漏洞需要受害者站点上具有参与者角色的帐户,或者WordPress安装中具有bbPress插件的任何帐户,只要它有公布功能(假如允许匿名公布,则不需要帐户)。当满脚这些条件时,所有WordPress安装都有风险。

CMS本机消毒功能中的旁路使得经过以下方式实现XSS成为大概:


DDoS防御

当前位置:主页 > CC防火墙 > 服务器谨防_傲盾DDoS防火墙_免费试用

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119