Ivory Search WordPress 插件存在 XSS 漏洞影响 6 万多个站点

Andrew 2021-03-31
专栏 - 资讯 发布于 2021-03-31 18:15:16 阅读 249 评论 0

研究人员在超过6万个网站上安装的Ivory Search WordPress插件存在跨站攻击漏洞。

2021年3月28日,Astra安全威胁情报小组负责任地披露了Ivory Search中的一个漏洞,该Ivory Search索是一个安装在60,000多个站点上的WordPress搜索插件。攻击者可以利用此安全漏洞在受害者的网站上执行恶意操作。

Ivory Search-WordPress搜索插件允许其用户为其WordPress网站创建新的自定义搜索表单。

由Jinson Varghese领导的威胁情报团队最初于2021年3月28日与Ivory Search插件开发人员联系,并提供了全部披露细节。开发人员于2021年3月29日做出回应,确认了此漏洞及其影响。然后一天后,该补丁程序于2021年3月30日发布。

这是严重程度中等的XSS漏洞,影响了Ivory Search插件版本4.6.0及更低版本。因此,我们强烈建议立即将此插件更新为包含补丁程序4.6.1的最新版本。

如果您使用的是Astra Security Suite – WordPress防火墙和恶意软件扫描程序,则您的站点已受到此漏洞的保护。

Ivory Search中漏洞的时间表

  • 2021年3月28日– Astra安全威胁情报小组发现并分析了该漏洞。
  • 2021年3月28日–完整的漏洞披露信息已发送给Ivory Search插件的开发人员。
  • 2021年3月29日– Astra Security收到了插件开发团队的回复,确认了该漏洞,并且还通知我们该补丁应该在几天内可用。
  • 2021年3月30日–插件的修补程序版本发布。

“象牙搜索插件设置页面上的特定组件未正确验证,从而无法执行恶意JavaScript代码。攻击者可以利用此类漏洞执行恶意操作”,Jinson说。

如果您是Ivory Search插件的用户之一,则强烈建议您将插件更新为完全修补的版本4.6.1。

Astra Security Suite – WordPress安全插件可以帮助保护您的网站

Astra Security Suite – WordPress安全插件,是WordPress网站的首选安全套件。使用Astra Security Suite保护您的网站,您不必担心任何恶意软件,信用卡黑客,SQLi,XSS,SEO垃圾邮件,评论垃圾邮件,暴力破解和100多种威胁。从使用Astra Security的防火墙进行24 * 7全天候监控到按需的恶意软件扫描程序,Astra都可以完成所有工作。

如果您是WP插件或主题开发人员,则可以按照此DIY安全审核指南进行操作,以确保您的插件没有安全漏洞。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!