据报道,所使用的超过1400万的WordPress的博客在网络上的Yoast WordPress的搜索引擎插件一直开到一个利用漏洞的黑客可以做一个SQL盲注。
盲SQL注入是一种类型的SQL注入攻击,要求数据库真或假的问题,并根据应用程序的响应答案。当Web应用程序配置为显示通用错误信息这种攻击经常会用到,但并没有缓解是容易受到SQL注入代码。
它可以用来插入一个SQL查询到数据库要么提取数据,修改数据或删除数据。 它经常被用来插入不必要的或未经授权的子公司,垃圾链接,或恶意软件/广告软件的网站。
如果你是WordPress的,有一个很好的机会,你正在使用此插件Yoast。要解决此问题,升级到版本1.7。4,立即。 这个版本是基于文件上是一个安全补丁瑞恩杜赫斯特安全扫描过程中发现的。 安全修补程序说:
安全修复:修复批量编辑器可能CSRF和盲目SQL注入漏洞。增加了严格的卫生条件ORDER_BY和秩序PARAMS。添加了额外的随机数的检查上发送额外的参数要求。访问批量编辑器所需的最小容量是现在编辑器。感谢瑞安杜赫斯特从WPScan用于发现和负责任的披露这个问题。
您可以了解更多关于TheHackerNews漏洞。COM。
后记:Yoast宣布,WordPress的球队居然自动推的更新,运行此插件的旧版本的WordPress安装。 运行这个这么多的网站会自动更新。