Astra模板插件漏洞影响超1百万个网站

Astra模板插件漏洞影响超1百万个网站插图

Astra WordPress主题出版商的Starter Templates – Elementor, Gutenberg & Beaver Builder Templates插件包含一个影响超过一百万网站的漏洞。该漏洞允许攻击者上传恶意脚本,对网站进行全面接管,并攻击受攻击网站的访问者。

Starter Templates — Elementor, Gutenberg & Beaver Builder Templates

Starter Templates插件是由Brainstorm Force发布的,他们是疯狂流行的Astra WordPress主题的制造商。该插件允许用户使用超过280个WordPress模板,帮助加快网站开发速度。

这些模板与Elementor、Gutenberg、Brizy和Beaver Builder,以及Astra主题兼容。

该插件已安装在超过一百万个网站中。

存储的跨站脚本(XSS)漏洞

Wordfence的安全研究人员发现,Brainstorm Force的Starter Templates插件包含一种漏洞,允许攻击者上传恶意脚本,而这些脚本又被存储在网站本身。存储的XSS漏洞特别麻烦,因为上传的脚本是存储在被攻击网站本身的服务器上。

非营利性的开放网络应用安全项目(OWASP)在其网站上描述了这种XSS漏洞的严重性。

“存储式攻击是指注入的脚本被永久地存储在目标服务器上,如数据库、信息论坛、访问者日志、评论栏等。

然后受害者在请求存储的信息时,从服务器上检索到恶意脚本”。

网站被接管和对网站访问者的攻击

该漏洞可能导致网站被完全接管,以及利用有漏洞的网站对所有网站访问者发动攻击。

根据Wordfence的报告:

“攻击者可以在他们控制的服务器上制作和托管一个包含恶意JavaScript的块,然后用它来覆盖任何文章或页面……

任何用Elementor建立的文章或页面,包括已发布的页面,都可能被导入的块覆盖,然后导入的块中的恶意JavaScript将在该页面的任何访问者的浏览器中执行。

这可以用来将网站访问者重定向到恶意网站,或劫持管理员的会话,以便创建一个新的恶意管理员,或为网站添加后门,导致网站被接管。”

Starter Templates插件修复

Wordfence向Starter Templates插件的发布者通报了这一漏洞,他们及时在2.7.1版本中修补了该插件。

Starter Templates插件的公开更新日志准确记录了该补丁:

v2.7.1 – 2021年10月7日

  • 安全改进。在处理导入请求之前验证网站的URL。
  • 安全性改进。在导入图片前更新了正确的文件上传权限。

像Brainstorm Force发布的诚实的更新日志是一个高质量的出版商的标志,很高兴看到他们对关闭安全问题持开放态度。

Wordfence建议出版商更新其插件

Wordfence建议所有使用该插件的出版商更新到该插件的最新版本,即2.7.5,因为这个最新版本还包含重要的错误修复。

本站最新版插件已经更新了,可以下载

Astra Pro完美汉化中文合集|自定义页面设计轻量响应式WordPress主题模板介绍

 收藏 (0) 更新不易,打赏吧

您可以选择一种方式赞助本站

支付宝扫一扫赞助

微信钱包扫描赞助

除特别注明外,本站所有文章均基于CC-BY-NC-SA 4.0原创,转载请注明出处。
文章名称:《Astra模板插件漏洞影响超1百万个网站》
文章链接:https://www.banzhuti.com/wordpress-starter-template-plugin-vulnerability.html
分享到: 生成海报
版权免责声明

① 本站提供的资源(插件或主题)均为网上搜集,如有涉及或侵害到您的版权请立即通知我们。
② 本站所有下载文件,仅用作学习研究使用,请下载后24小时内删除,支持正版,勿用作商业用途。
③ 因代码可变性,不保证兼容所有浏览器、不保证兼容所有版本的WP、不保证兼容您安装的其他插件。
④ 本站保证所提供资源(插件或主题)的完整性,但不含授权许可、帮助文档、XML文件、PSD、后续升级等。
⑤ 由本站提供的资源对您的网站或计算机造成严重后果的本站概不负责。
⑥ 使用该资源(插件或主题)需要用户有一定代码基础知识!另本站提供汉化使用安装教程,仅供参考。
⑦ 有时可能会遇到部分字段无法汉化,同时请保留作者汉化宣传信息,谢谢!
⑧ 本站资源售价只是赞助和汉化辛苦费,收取费用仅维持本站的日常运营所需。
⑨ 如果喜欢本站资源,欢迎捐助本站开通会员享受优惠折扣,谢谢支持!
⑩ 如果网盘地址失效,请在相应资源页面下留言,我们会尽快修复下载地址。

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

WordPress主题 插件 建站 汉化

定制服务联系我们
切换注册

登录

点击按钮进行验证

忘记密码

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活