WordPress插件Yuzo存在0day漏洞 黑客可进行XSS攻击

2019年4月12日22:46:24 发表评论

漏洞介绍:

XSS漏洞允许攻击者JavaScript注入站点,将用户重定向到任何恶意网站。

Yuzo相关帖子插件已于2019年4月12日从WordPress插件商店中删除。

此前,一名网络安全研究人员在公开了此0day漏洞。

Yuzo相关帖子插件目前已安装在全球超过60000个网站上。

最近黑客开始疯狂利用此漏洞,大面积安装了此插件的WordPress网站正在将用户重定向到恶意的网站。

根据WordFence的安全专家介绍:Yuzo插件中的漏洞用于存储数据库中设置的插件过程中缺少身份验证检查。

Yuzo XSS漏洞演示:

WordPress插件Yuzo存在0day漏洞 黑客可进行XSS攻击

安全时代建议做法:

1.立即删除/卸载插件。

2.在您的数据库中,转到wp_options表并查找值yuzo_related_post_options删除该记录。

3.不要删除wp_yuzoviews访问表,这不会影响网站。

作者将会尽快发布漏洞修复版插件,届时正在使用插件的用户可重新下载覆盖安装。

发表评论

后发表评论