近日,WordPress插件WordPress SEO by Yoast被曝高危漏洞,千万网站面临黑客入侵的危险。据悉,该插件开发者已经在其最新版本打上了补丁,用户需更新到最新版本。
该漏洞是WordPress漏洞扫描器“WPScan”开发者Ryan Dewhurst发现——1.7.3.3之前版本的WordPress SEO by Yoast都会受到SQL盲注web应用程序漏洞的影响。SQL注入漏洞之所以被标记为高危漏洞,是因为它可能会导致大量数据和敏感信息泄露。通常,在SQL注入攻击中,攻击者会通过客户端在应用程序中输入一个畸形的SQL请求。
该漏洞存在于admin/class-bulk-editor-list-table.php文件中,只有管理员、编辑和作者等授权用户可访问。因此,攻击者需通过社会工程的手段欺骗授权用户点击特殊构造的链接才能激发漏洞利用程序。之后,漏洞利用程序会在受害者的网站上执行SQL查询代码。
Yoast开发者在了解该漏洞后,已经在为该插件的最新版本1.7.4打上补丁。由于相关漏洞会影响该插件1.7.3.3之前的所有版本,因此开发者提醒使用者及时将插件更新到最新版本。
关于WordPress SEO by Yoast
这是一款非常流行的SEO(搜索引擎优化)插件,几乎涵盖了所有SEO方面的优化功能。目前有超过1000万个WordPress网站采用了WordPress SEO by Yoast插件。
