資安研究人員Ryan Dewhurst揭露WordPress知名外掛Yoast含有安全漏洞,可用來執行Blind SQL Injection資料隱碼攻擊,影響超過1000萬個採用該外掛程式的WordPress網站。目前Yoast已釋出修補程式,建議用戶立即更新。

WordPress是全球最受歡迎的架站及內容管理平台,估計全球有6000萬個網站採用WordPress。Yoast則是一個搜尋引擎最佳化(Search Engine Optimization, SEO)服務供應商,有超過1000萬個WordPress網站採用Yoast的WordPress SEO外掛程式。

Dewhurst表示,最新的WordPress SEO by Yoast 1.7.3.3含有兩個Blind SQL Injection安全漏洞,允許駭客在含有相關漏洞的網站上執行任何查詢,藉以竊取網站資料,也可能建立新的管理員,直接取得網站的管理權限。

Yoast則說明,如果駭客誘導一個已登入的網站作者或管理員造訪一個惡意的網頁,那麼駭客就有機會變更其資料庫。這類漏洞並不允許大量攻擊,一次只能鎖定一個網站上的一名用戶。

由於相關漏洞影響了WordPress SEO by Yoast 1.7.3.3與之前所有的版本,代表所有執行該外掛的網站都受到波及。Yoast當天即釋出更新程式,同時修補1.5、1.6與1.7的免費與付費版。(編譯/陳曉莉)

熱門新聞

Advertisement