Wordfence发布了两个影响Redux Framework插件用户的漏洞,该插件最近在WordPress.org上被称为“古腾堡模板库和Redux框架”。Extendify于2020年11月从其创建者Dōvy Paukstys那里购买了该插件,这笔交易并未得到高度宣传。它目前活跃在超过100万个WordPress网站上。
在其大部分历史中,Redux一直被称为主题和插件的流行框架。2020年,Paukstys重新启动了该框架,重点是Gutenberg模板。用户现在可以从区块编辑器内部浏览1,000多个模板。
正是这个新的模板浏览功能在Wordfence最近的安全报告中被发现存在漏洞,原因是该插件用于处理其模板库中的请求的WP REST API端点上的权限检查不严。2021年8月3日,Wordfence向插件所有者披露了一个被描述为“不正确的授权导致任意插件安装和删除后”的高严重性漏洞和一个低严重性的“未经身份验证的敏感信息泄露”漏洞。本周发布的报告描述了威胁的性质:
一个漏洞允许具有较低权限的用户(例如贡献者)安装和激活任意插件,并通过REST API删除任何文章或页面。第二个漏洞允许未经身份验证的攻击者访问有关站点配置的潜在敏感信息。
Extendify立即做出回应,并于2021年8月11日发布了Redux Framework的修补版本 ( 4.2.13)。在发布时,超过71%的使用Redux Framework插件的站点运行在仍然存在漏洞的旧版本上。建议用户更新到最新版本以获得安全补丁,尤其是现在Wordfence已经发表了一篇文章,展示了攻击者如何潜在地利用这些漏洞。
© 版权声明
免责声明
- 本站文章均为原创,除非另有说明,否则本站内容依据 CC BY-NC-SA 4.0 许可证进行授权,转载请附上出处链接及本声明,谢谢。
- 本站提供的资源(插件或主题)均为网上搜集,如有涉及或侵害到您的版权,请立即通过邮箱 admin@wpwpp.com 通知我们。
- 本站所有下载文件,仅用作学习研究使用,下载后请在 24小时内 删除。请支持正版,切勿用作商业用途。
- 因代码可变性,本站不保证兼容所有浏览器、不保证兼容所有版本的 WordPress,不保证兼容您安装的其他插件。
- 本站保证所提供资源(插件或主题)的完整性,但不含授权许可、帮助文档、XML文件、PSD、后续升级等。
- 使用该资源(插件或主题)需要用户有一定代码基础知识!本站只提供汉化及安装教程,仅供参考。由本站提供的资源对您的网站或计算机造成严重后果的,本站概不负责。
- 有时可能会遇到部分字段无法汉化,同时请保留作者汉化宣传信息,谢谢!
- 本站资源售价只是赞助和汉化辛苦费,收取费用仅维持本站的日常运营所需。
- 如果您喜欢本站资源,开通会员享受更多优惠折扣,谢谢支持!
- 如果网盘地址失效,请在相应资源页面下留言,我们会尽快修复下载地址。
- 本站网址:wpwpp.com,联系邮箱:admin@wpwpp.com。
THE END
暂无评论内容