主页 > 高防服务器 > ddos防护_抗ddos是啥意思_超稳定
技术详细信息
作为我们对Sucuri防火墙定期研究审计的一部分,CC防御,我们发觉了一具阻碍WordPress的YITH WooCommerce Wishlist插件的SQL注入漏洞。此插件允许访咨询者和潜在客户制作包含WooCommerce商店中产品的愿望列表,目前已安装在500000多个网站上。
您有风险吗?
此漏洞的有味部分——以及我们希翼生成此安全建议的缘由——是免费的"用户注册"通常在使用此插件的站点上启用,以便存储用户首选项(即愿望列表)并可供将来使用。
为了达到易受攻击的查询,CC防御,攻击者必须使用以下参数创建请求:
假如您使用的是此插件的易受攻击版本,DDoS防御,请尽快更新到版本2.2.0!
假如攻击者可感觉变量$limit设置任意值,他们能够修改查询,CC防御,从而导致多台服务器浮上彻底妥协。我们不应低估SQLi能够做啥,也不应低估有多少服务器允许攻击者获得的不仅仅是加密的哈希和用户电子邮件。
尽快更新
请注意,在运行5.7之前的MySQL版本的服务器上特别容易利用此漏洞。
易受攻击的代码见版本2.1.2中includes/class.yith-wcwl-shortcode.php的第523行。此代码是函数get_products()的一部分,该函数差不多上返回特定用户的所有愿望列表元素:
这是攻击者此刻唯一需要做的情况,正在创建一具用户帐户并调用我们之前在一些帖子中描述的易受攻击的短代码。
分页值必须为"是"计数变量必须大于1(此变量存储特定用户的愿望列表元素数)必须设置限制变量
此漏洞是由于2.2.0以下版本中用户提供的数据未经清理造成的。攻击者(至少拥有订户帐户)大概泄漏敏感数据,同时在某些配置中,大概会危及您的整个WordPress安装。
接着攻击者能够经过includes/class.yith wcwl shortcode.php中定义的shortcode yith_wcwl_wishlist满脚所有这些条件:
假如您无法做到这一点,我们强烈建议利用Sucuri防火墙或等效技术虚拟修补漏洞。
- 上一篇:ddos盾_服务器托管高防_想法
- 下一篇:防cc_谨防ddos服务器_超高谨防
- 2021-04-08香港高防ip_cdn攻击防御_免
- 2021-02-24cdn防御cc_免备案高防_如何
- 2021-03-14网站安全防护_防御攻击
- 2021-04-26服务器防御_高防浪琴表价
- 2021-01-12ddos防护_服务器防御ddos的
- 2021-02-18cdn防护_cc防御服务_免费测
- 2022-01-02网站谨防_神盾局特工第二
- 2021-03-19国内高防cdn_服务器防火墙
- 2021-02-10cdn防护_云盾先知_新用户优
- 2021-04-30ddos防火墙_ddos高防服务器
- 2021-04-08cdn防御cc_云盾ddos监控_怎么
- 2021-06-10服务器谨防_大株红景天防
- 2021-09-02ddos谨防_高防直连vps_怎么
- 2022-04-23ddos清洗_谨防ddos流量攻击
- 2021-05-02服务器防御_游戏高防服务
- 2021-01-11防ddos_美国高防vps100g_如何
- 2021-01-13ddos防御攻击_高防虚拟主机
- 2021-08-24香港高防ip_国外高防vps_快
- 2021-08-25高防cdn_海外高防云服务器
- 2022-06-16ddos盾_游戏高防服务器_怎
- 2021-08-04ddos高防ip_高防服务器文章
- 2021-05-24防cc攻击_高防直连vps_想法
- 2021-07-20ddos如何防_ddos谨防策略_打
- 2021-07-02网站安全防护_网页攻击
- 2021-04-06防御ddos_服务器攻击防御
- 2021-07-30cdn高防_高防免备案cdn_免费
- 2021-09-02服务器防护_服务器防护盾
- 2021-05-27高防IP_友云签盾靠谱吗_零
- 2021-04-06高防cdn_香港高防一号_怎么
- 2021-05-27ddos谨防工具_高仿衣服哪里