当前位置:主页 > 在线留言 >
WordPre在线留言ss插件配置文成器中的严重漏洞
发布日期:2020-03-01

  wordpress会员插件

  流行的WordPress用户角色插件中的漏洞使任何随机的人都可以在目标网站上创建管理员级别的帐户。

  Wordfence表示:“表单处理程序中的一个bug使得恶意用户可以提交表单中不存在的字段的输入。特别是,如果站点的管理员没有将用户角色字段添加到表单中,攻击者仍然可以将用户角色值注入表单提交中。”

  Profile Builder是一个表单构建插件,主要用于博客和网站的评论部分。在线留言根据件库的描述,它自动化了用户注册过程,wordpress注册插件并为用户添加了一个漂亮的前端菜单,让他们可以做请求密码重置等事情。

  Wordfence在一篇详细的博客文章中认为,如果在最初配置Profile Builder版本(包括3.1.0版)之前,如果站点管理员未为新注册用户设置默认用户角色字段,则恶意人员可以简单地提交新的用户注册以及他们自己选择的用户角色,例如admin。

  如果在插件的初始设置过程中,站点管理员没有定义用户角色,那么定义用户角色的表单字段对于新用户注册来说是不存在的——但是如果收到一个表单字段,插件就会很高兴地处理它。因此,未经身份验证的攻击者可以远程创建管理员级别的帐户并造成混乱。

  WordPress插件中的漏洞并不少见。就在几周前,一个类似的身份验证vuln被插入了两个流行的插件,这两个插件运行在大约32万个以wordpress为动力的网站上。

上一篇:亚洲色欧美图另类Wowordpress注册插件rdPress前端注册插件-ludou-cu在线留言stom-gister-
下一篇:rdPres在线留言swordp日本毛片va看到爽ress注册插件自定义用户注册页面插件

主页    |     服务支持    |     服务项目    |     意见反馈    |     在线留言    |     咨询案列    |