影響千萬網站 「WordPress SEO by Yoast」被揭重大漏洞

相信不少擁有自己網站的 unwire.pro 讀者大多都以近年熱門平台之一的 WordPress 作為網站服務架構,有日前就有資安研究人員發現 WordPress 的知名外掛 Yoast 含有嚴重安全漏洞,影響逾 1000 萬個有套用此外掛程式的 WordPress 網站。

相信不少擁有自己網站的 unwire.pro 讀者大多都以近年熱門平台之一的 WordPress 作為網站服務架構,有日前就有資安研究人員發現 WordPress 的知名外掛 Yoast 含有嚴重安全漏洞,影響逾 1000 萬個有套用此外掛程式的 WordPress 網站。

 

黑客只可藉漏洞對單一目標發動攻擊

據資安研究人員 Ryan Dewhurst 日前揭露指,受 WordPress 用戶歡迎的搜尋引擎最佳化的 (Search Engine Optimization,SEO) 服務供應商所推出的外掛 Yoast 含有嚴重安全漏洞;黑客可利用相關漏洞執行 Blind SQL Injection 攻擊,估計受影響的 WordPress 網站超過 1000 萬個,約佔 WordPress 用戶的 1/6。

Dewhurst 指,版本為 1.7.3.3 的 WordPress SEO by Yoast 有兩個 Blind SQL Injection 安全漏洞,讓黑客可以於套用上述具漏洞 Yoast 外掛套件的網站上執行任何查詢,藉此竊取網站資料;更有可能建立新的管理員帳戶,並直接取得網站管理權限。

Yoast 就為此提供更進一步的說明,指黑客先需要誘導已登入網站的作者或管理員瀏覽特定的惡意網站,才有機會對目標資料庫進行存取及修改。他續指,此類型的漏洞並不適用於大規模攻擊,故此其危險性非如外界想像般高。

1.7.3.3 與之前的所有版本的 WordPress SEO by Yoast 均相關漏洞影響,而 Yoast 在得知漏洞後隨即就推出更新程式,同時修補 1.5、1.6 與 1.7 免費與付費版的漏洞。

為免夜長夢多,unwire.pro 建議各位有在網站上採用上述外掛程式的讀者立即更新。

Source:The Hacker News