WordPress autoptimize插件漏洞影响+1百万站点

WordPress优化插件自动优化最近更新以修复存储的XSS漏洞。建议使用该插件的发布者立即更新,以减少曝光对黑客事件的可能性。

存储的XSS漏洞

存储的横向站点脚本(XSS)漏洞是漏洞软件有一个缺陷,允许黑客上传一个恶意文件,然后可以攻击访问该网站的人。

有不同类型的存储XSS漏洞,这不是清楚的那种。[但是,根据恶意文件上传的位置,当管理员级别权限访问网站并收到有效载荷时,这种类型的漏洞可能尤其有问题,这可能导致总网站结束了。

据美国政府国家标准与技术研究所依据,美国商务部网站的依据,以下是如何定义跨站点脚本剥削的跨站点:

“允许攻击者将恶意代码注入良性网站的漏洞。这些脚本获取目标网站生成的脚本权限,因此可以损害网站之间数据传输的机密性和完整性。客户。

如果显示用户从请求或表单显示用户提供的数据,则网站易受攻击,而不会消除数据,以便它不可执行。 “ 这被称为”存储的“XSS漏洞,因为存储了恶意文件在网站本身。在不同类型的XSS 下面 vistberability评级 使用称为常见漏洞评分系统(CVS)的开源标准评定漏洞。漏洞分数通常是使用CVSS版本3.1的。这是漏洞标准的描述方式: “”常见的漏洞评分系统(CVSS )是一种公开的框架,用于传达软件漏洞的特点和严重性。 “ 影响autoptimize的漏洞被称为经过身份验证的存储xss漏洞,这意味着黑客必须登录站点以便利用缺陷。 可能为什么这是一个贡献的原因的Everity水平自动优化WordPress插件漏洞已被评为介质,得分为5.4,范围为1到10。 autoptimize changelog 每次更新都会使用软件的所有更改的日志。它通常会调整一个版本,有时版本的日期和更新中包含的更改。 根据官方自动优化的变更,最新版本为2.8.4修复了漏洞。 “2.8.4 修复了经过身份验证的XSS漏洞” 虽然这是一个额定媒体的漏洞,但它仍建议使用此插件的所有发布者立即更新它为了保持安全。 引文 upotoptimize vu的文件PatchStack安全站点的legability