首页 > 清静研究 > 清静转达 > 清静通告

WordPress Total Donations插件0day误差清静通告

宣布时间 2019-01-29

误差编号和级别

CVE编号：CVE-2019-6703，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

影响版本

Total Donations插件2.0.5及之前所有版本

误差概述

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，，，，，该平台支持在PHP和MySQL的效劳器上架设小我私家博客网站。。。。。

Total Donations Plugin是使用在其中的一个网站捐赠治理插件，，，，，现在已经放弃维护。。。。。

该插件的代码包括几个设计缺陷，，，，，这些缺陷从整体上将插件和WordPress网站袒露在不清静的情形中，，，，，插件的migla_ajax_functions.php文件保存会见控制过失误差，，，，，任何未履历证的远程攻击者都可以操作该插件。。。。。攻击者可通过向wp-admin/admin-ajax.php文件发送请求使用该误差更新恣意WordPress 站点的焦点设置项的数值，，，，，更改插件相关的设置，，，，，修改通过插件收到的捐钱的目的帐户，，，，，甚至检索Mailchp 邮件列表，，，，，进而控制网站。。。。。

作为一个商业产品，，，，，该插件不会有一个重大的用户群。。。。。但该插件最有可能装置在拥有大宗用户群的 WordPress 网站上，，，，，这些网站是黑客的主要目的。。。。。

误差使用

暂无POC/EXP.

修复建议：

现在厂商暂未宣布修复步伐解决此清静问题，，，，，建议删除整个插件。。。。。

参考链接：

https://www.zdnet.com/article/wordpress-sites-under-attack-via-zero-day-in-abandoned-plugin/

https://www.wordfence.com/blog/2019/01/wordpress-sites-compromised-via-zero-day-vulnerabilities-in-total-donations-plugin/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究