黑客们正在积极地利用一个关键的WordPress插件漏洞，这个漏洞允许他们彻底清除所有的网站数据库，在某些情况下，沐鸣开户测速还可以完全控制受影响的网站。

 

这个漏洞是安装在大约10万个网站上的ThemeGrill演示导入器，网站安全公司WebARX上周末披露了这个漏洞。截至周二，WebArx报告称，该漏洞正在被积极利用，迄今为止已阻止了近1.7万次攻击。在Golem.de工作的记者汉诺博克(Hanno Bock)也发现了一些活跃的攻击，并在Twitter上进行了报道。

 

汉诺

 

@hanno

 

h·18

 

目前有一个严重的vuln在wordpress插件名为“themegrill demo importer”，它重置了整个数据库。似乎攻击开始了:一些受影响的网页显示了wordpress的“hello world”

 

关键问题在ThemeGrill演示进口商- WebARX安全

 

在ThemeGrill演示导入器中存在一个严重的漏洞，它会导致数据库擦除和验证绕过。在1.3.4及以上版本中。

 

汉诺

 

@hanno

 

如果你使用这个插件，而你的网页还没有被删除，那你就幸运了。并删除插件。(是的，删除它，不要只是更新。)

 

博克写道:“目前wordpress插件中有一个严重的问题，叫做‘themegrill demo importer’，它会重置整个数据库。”“似乎攻击开始了:一些受影响的网页显示了wordpress的‘hello world’-post。如果你使用的是这个插件，而你的网页还没有被删除，你应该感到幸运。并删除插件。(是的，删除它，不要只是更新。)

 

你好,残酷的世界

 

“Hello World”消息是WordPress站点上第一次安装开源内容管理系统或清除系统时显示的默认占位符。博克告诉我，攻击者似乎在利用ThemeGrill的漏洞，希望获得对受影响网站的行政控制。只有当一个脆弱的网站拥有一个名为“admin”的账户时，网站才会被接管。在这些情况下，黑客利用该漏洞并清除所有数据后，他们将自动作为具有管理权限的用户登录。

 

“问题是，在大多数情况下，你只能‘只’重置数据库，也就是说，这对攻击者来说并不是真正有用的，但如果用户‘管理员’存在，攻击者可以接管它，”他在一条直接消息中说。“但你事先并不知道。因此，我认为攻击者只会试图留下大量被破坏的WordPress安装，而劫持少数几个这种攻击起作用的地方。”

 

ThemeGrill演示导入器用于自动导入Web开发公司提供的其他插件。WordPress最初的统计数据显示，沐鸣开户测速importer插件安装了20万次。最近，这个数字被修改为10万，很可能是因为许多网站选择卸载它。

 

根据WebARX的说法，这个漏洞已经活跃了大约三年，并且存在于1.3.4到1.6.1的版本中。修复程序在版本1.6.2中可用，尽管较新的版本(称为1.6.3)在过去12小时内可用。

 

身份验证失败

 

此错误源于在允许用户执行特权管理命令之前未能对用户进行身份验证。黑客可以通过发送包含特殊编写的文本字符串的Web请求来滥用此故障。

 

“这是一个严重的漏洞，可以造成大量的损害，”WebARX的研究人员在本周末的披露中写道。“因为它不需要可疑的有效载荷，就像我们之前在InfiniteWP中发现的一样，所以在默认情况下，任何防火墙都不会阻止这个漏洞，需要创建一个特殊的规则来阻止这个漏洞。”

 

具体来说，该漏洞允许攻击者删除所有表并使用默认设置和数据填充数据库。名为“admin”的帐户(假设存在)被设置为它们之前知道的密码。在名为admin的事件帐户存在时，攻击者将发现自己登录了具有管理权限的帐户。

 

WebARX的研究人员发现了这个漏洞，并于2月2日将其报告给ThemeGrill的开发者。插件开发者直到周日才发布了补丁。使用ThemeGrill的网站应立即更新。更好的是，正如博克所建议的，沐鸣开户测速他们应该完全卸载插件。这个漏洞与上周末在WordPress插件wpCentral中报告的另一个漏洞截然不同。该缺陷允许不受信任的用户升级特权。