相信不少擁有自己網站的 unwire.pro 讀者大多都以近年熱門平台之一的 WordPress 作為網站服務架構,有日前就有資安研究人員發現 WordPress 的知名外掛 Yoast 含有嚴重安全漏洞,影響逾 1000 萬個有套用此外掛程式的 WordPress 網站。
黑客只可藉漏洞對單一目標發動攻擊
據資安研究人員 Ryan Dewhurst 日前揭露指,受 WordPress 用戶歡迎的搜尋引擎最佳化的 (Search Engine Optimization,SEO) 服務供應商所推出的外掛 Yoast 含有嚴重安全漏洞;黑客可利用相關漏洞執行 Blind SQL Injection 攻擊,估計受影響的 WordPress 網站超過 1000 萬個,約佔 WordPress 用戶的 1/6。
Dewhurst 指,版本為 1.7.3.3 的 WordPress SEO by Yoast 有兩個 Blind SQL Injection 安全漏洞,讓黑客可以於套用上述具漏洞 Yoast 外掛套件的網站上執行任何查詢,藉此竊取網站資料;更有可能建立新的管理員帳戶,並直接取得網站管理權限。
Yoast 就為此提供更進一步的說明,指黑客先需要誘導已登入網站的作者或管理員瀏覽特定的惡意網站,才有機會對目標資料庫進行存取及修改。他續指,此類型的漏洞並不適用於大規模攻擊,故此其危險性非如外界想像般高。
1.7.3.3 與之前的所有版本的 WordPress SEO by Yoast 均相關漏洞影響,而 Yoast 在得知漏洞後隨即就推出更新程式,同時修補 1.5、1.6 與 1.7 免費與付費版的漏洞。
為免夜長夢多,unwire.pro 建議各位有在網站上採用上述外掛程式的讀者立即更新。
Source:The Hacker News