Jetpack Scan 团队发布了最近在 WP Fastest Cache 插件中发现的两个问题的摘要——Authenticated SQL Injection 漏洞和 Stored XSS Via CSRF 漏洞。
Automattic 安全研究工程师 Marc Montpas 说:“如果被利用,SQL 注入漏洞可能会允许攻击者访问受影响站点数据库中的特权信息(例如,用户名和散列密码)。”这个特定的漏洞只能在安装和激活经典编辑器插件的站点上被利用。
蒙帕斯说:“成功利用 CSRF 和存储型 XSS 漏洞可以使不良行为者执行他们所针对的登录管理员允许在目标站点上执行的任何操作。”他还发现攻击者可能“滥用其中一些选项在受影响的网站上存储流氓 Javascript”。
WP Fastest Cache 在超过 100 万个 WordPress 站点上处于活动状态,该插件还报告了 58,322 名付费用户。该插件的作者 Emre Vona 修补了本周发布的 0.9.5 版本中的漏洞。 Jetpack 建议用户尽快更新,因为这两个漏洞如果被利用都会产生很高的技术影响。