|
微信號:freebuf 使用了Genericons包的WordPress插件或主題都可能受一個基于DOM的XSS漏洞影響,因為WordPress默認(rèn)主題Twenty Fifteen及知名插件Jetpack都包含了存在漏洞的頁面example.html�,影響百萬用戶��。 漏洞成因 任何使用了genericons包的WordPress插件或主題都會受到這個基于DOM的跨站腳本漏洞的影響�����,因為通常情況下genericons包中都含有一個example.html文件��,而該文件中包含一個基于DOM的XSS漏洞����。
這些受影響的插件包括JetPack插件���,它擁有超過100萬的活躍安裝量,同時受影響的還有默認(rèn)安裝的TwentyFifteen主題�����。在這一次的漏洞事件中����,Automattic和WordPress團(tuán)隊遺留了一個簡單的example.html文件,而該文件中包含一個基于DOM的XSS漏洞��。
攻擊方式 為了利用這個基于DOM的XSS漏洞����,攻擊者需要誘導(dǎo)受害者點擊一個漏洞利用鏈接。然而不幸的是����,安全威脅著已經(jīng)準(zhǔn)備好在世界范圍內(nèi)利用這個基于DOM的XSS漏洞。
Sucuri公司發(fā)表的一篇博文中陳述道: 安全建議 不過好消息是�����,很容易就能修復(fù)這個基于DOM的XSS漏洞���,只需要刪除example.html文件或者屏蔽任何對example.html文件的訪問即可�����。
* 參考來源securityaffairs�����,有適當(dāng)修改�����,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)
|
