概述关于SQL注入,想必这里也不用多讲。互联网上关于SQL注入的Paper、Blog有很多,以及各个漏洞平台层出不穷的漏洞报告。但是,这些漏洞都有一个很大的共同点:数据查询参数过滤不够严谨所导致的Select型注入。
User Post Gallery 是WordPress的一个第三方插件,该插件被许多网站运营者使用,由于代码存在远程命令执行漏洞,被许多黑客利用进行攻击网站,导致许多安装wordpress User Post Gallery插件的网站都深受影响,可导致服务器被提权拿到root管理权限,CVE编号:CVE-2022-4060。
Slimstat是一款应用于WordPress平台的流量分析插件。Slimstat 3.9.6之前的版本都存在一个重大的安全漏洞,插件中使用了一个用于收发数据数字签名的密钥。Slimstat密钥是插件安装时间戳的MD5哈希函数,极易被攻击者识破,进而造成SQL目盲注入式攻击。
世界知名博客平台WordPress发布了它的上半年透明度报告。报告披露,从1月1日到6月30日,它总共收到4,679次DMCA删除通知(因内容侵犯版权而请求删除),其中43%的要求因为不符合规定而被拒绝。WordPress称,其中12%的删除通知被认为是滥用DMCA协议。
WordPress核心引擎中的存在安全漏洞并不是什么稀罕的事情,但是也并不常见。在这个当前非常热门的内容管理系统中所存在的大多数安全问题,基本上都是由其他的第三方插件所引起的,而这些问题往往会影响整个网站的正常运行。除此之外,这些安全问题还有可能会导致这些网站受到网络黑客的攻击。
据安全研究公司Sucuri表示,Wordpress插件MailPoet被怀疑可能存在漏洞,能够让黑客取得对站点的完全控制。MailPoet是一个Wordpress下流行的用于制作和管理推广邮件的插件,下载量超过170个。
