人员继续观察针对该插件的野外攻击。分析该漏洞存在于版本中。的插件。据报道它是在作者向函数添加导入导出功能时引入的。据称该功能用于查看删除日志导入导出插件配置以及更新数据库中的选项。问题似乎是任何登录用户都能够执行这些命令因为代码不会验证他们的权限。更严重的是插件对的使用它在函数中可用允许未经身份验证的用户执行这些命令而无需登录易受攻击的站点。在其博客文章中提供了一个概念证明该文。
章将文件上传到易受攻击的网站修改其设置以允许任何用户在站点上注册 斯洛文尼亚 WhatsApp 号码列表 并向所有用户授予管理员权限。他们还提到可以利用此漏洞来实现远程代码执行。解决方案插件已于月日更新至版本以解决此漏洞。站点管理员确保此插件是最新的很重要。网站管理员必须定期检查他们网站上运行的插件以及它们是否是最新的。插件更新可能包含安全问题的修复程序更新失败可能会使网站容易受到损害。影响系统的识别您的应用程序是否受到组件漏洞的保护埃里克德托。
伊西安公司年月日分钟阅读第三方组件用于构建大多数新的应用程序这些组件极易受到攻击。下面介绍如何使用应用程序扫描来评估自定义代码中的常见漏洞。当今的应用程序在业务功能和技术架构方面都非常复杂。这种复杂性导致攻击面急剧扩大需要一种新的应用程序扫描方法。传统应用程序扫描的局限性应用程序扫描传统上一直专注于通用应用程序漏洞检测。这是发现和修复常见漏洞的强制性要求例如注入跨站点脚本身份验证失败或不安全的反序列化有。