Real-Time Find and Replace 是一个可以实时查找和替换网站数据的插件,不过倡萌还是推荐使用 Better Search Replace 来一次性查找和替换,不必一直启用插件。
最近Real-Time Find and Replace低于3.9的版本爆了一个非常严重的跨站点请求伪造(CSRF)漏洞,攻击者可以利用插件的功能,用恶意代码替换目标站点上的任何内容,恶意重定向用户到任何网址,还可以创建管理员账号。
该漏洞由 Wordfence威胁分析师Chloe Chamberland发现,根据Chamberland的说法,“当用户导航到包含原始内容的页面时,”该JavaScript代码将自动执行。
例如,攻击者可能滥用此漏洞,用其恶意代码替换<head>之类的HTML标记,这将导致被攻击的WordPress网站上的几乎所有页面都转换为恶意工具,并在成功利用后导致严重影响的攻击。
根据Chamberland的报告,恶意代码然后可以“被用来注入新的管理用户帐户,窃取会话Cookie或将用户重定向到恶意站点,从而使攻击者能够获得管理访问权限或感染浏览受感染站点的无辜访客”。
为了在网站数据发送到站点访问者的浏览器之前替换内容,“该插件注册了一个与功能
far_options_page
绑定的子菜单页面,并具有对
activate_plugins
的功能要求,” Chamberland解释说。她补充说:“
far_options_page
函数包含插件功能的核心,用于添加新的查找和替换规则。”
“不幸的是,该功能未使用随机数验证,因此在规则更新期间未验证请求源的完整性,从而导致跨站点请求伪造漏洞。”
该漏洞已于4月22日发现并报告,Real-Time Find and Replace的开发人员在首次披露报告后的几个小时内就发布了补丁版本。
Wordfence使用CVSS评分8.8对该安全漏洞进行了评级,说明它是一个非常高的安全问题,所以,如果你有在使用Real-Time Find and Replace插件,请立即升级到最新的版本:http://wp101.net/plugins/real-time-find-and-replace/
本站下载:
Real-Time Find and Replace 登录下载 新版本下载
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.yuankufang.com",如遇到无法解压的请联系管理员!
源库坊 » Real-Time Find and Replace 插件存在严重的安全漏洞
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 提示下载完但解压或打开不了?
- 找不到素材资源介绍文章里的示例图片?
- 源库坊