首页 > 清静研究 > 清静转达 > 清静通告

WordPress Total Donations插件0day误差清静通告

宣布时间 2019-01-29

误差编号和级别

CVE编号：CVE-2019-6703，，，，，，，危险级别：高危，，，，，，，CVSS分值：官方未评定

影响版本

Total Donations插件2.0.5及之前所有版本

误差概述

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，，，，，，，该平台支持在PHP和MySQL的效劳器上架设小我私家博客网站。。。

Total Donations Plugin是使用在其中的一个网站捐赠治理插件，，，，，，，现在已经放弃维护。。。

该插件的代码包括几个设计缺陷，，，，，，，这些缺陷从整体上将插件和WordPress网站袒露在不清静的情形中，，，，，，，插件的migla_ajax_functions.php文件保存会见控制过失误差，，，，，，，任何未履历证的远程攻击者都可以操作该插件。。。攻击者可通过向wp-admin/admin-ajax.php文件发送请求使用该误差更新恣意WordPress 站点的焦点设置项的数值，，，，，，，更改插件相关的设置，，，，，，，修改通过插件收到的捐钱的目的帐户，，，，，，，甚至检索Mailchp 邮件列表，，，，，，，进而控制网站。。。

作为一个商业产品，，，，，，，该插件不会有一个重大的用户群。。。但该插件最有可能装置在拥有大宗用户群的 WordPress 网站上，，，，，，，这些网站是黑客的主要目的。。。

误差使用

暂无POC/EXP.

修复建议：

现在厂商暂未宣布修复步伐解决此清静问题，，，，，，，建议删除整个插件。。。

参考链接：

https://www.zdnet.com/article/wordpress-sites-under-attack-via-zero-day-in-abandoned-plugin/

https://www.wordfence.com/blog/2019/01/wordpress-sites-compromised-via-zero-day-vulnerabilities-in-total-donations-plugin/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究