WordPress插件中的错误可使黑客擦除多达200,000个网站

建议使用ThemeGrill提供的商业主题的WordPress网站所有者更新与这些主题一起安装的插件之一,以修补可能使攻击者擦除其网站的严重错误。

该漏洞位于ThemeGrill Demo Importer中,该插件附带由出售商业WordPress主题的Web开发公司ThemeGrill出售的主题。

该插件已安装在200,000多个站点上,允许站点所有者将演示内容导入其ThemeGrill主题内,以便他们获得示例以及可以构建自己的站点的起点。

但是,在昨天发布的报告中,WordPress安全公司WebARX表示,较旧版本的ThemeGrill Demo Importer容易受到未经身份验证的攻击者的远程攻击。

远程黑客可以将特制的有效负载发送到易受攻击的站点,并在插件内部触发功能。

易受攻击的功能会将网站的内容重置为零,从而有效擦除了激活了ThemeGrill主题并且已安装易受攻击的插件的所有WordPress网站的内容。

此外,如果站点的数据库包含名为“ admin”的用户,则攻击者将获得对该用户的访问权限,并具有对该站点的完全管理员权限。

WebARX说,此漏洞影响版本1.3.4和1.6.1之间的所有ThemeGrill Demo Importer插件版本。

插件的开发者ThemeGrill修复了该错误,并于周末发布了1.6.2版本。

这是今年披露的WordPress插件中的第二个漏洞,它可能允许攻击者清除站点数据库。上个月,Wordfence的团队在WP Database Reset插件中发现了类似的问题,该插件已安装在80,000多个站点上。

今年已发现的其他值得注意的WordPress错误包括: