首页 > 清静研究 > 清静转达 > 清静通告

WordPress Total Donations插件0day误差清静通告

宣布时间 2019-01-29

误差编号和级别

CVE编号：CVE-2019-6703，危险级别：高危，CVSS分值：官方未评定

影响版本

Total Donations插件2.0.5及之前所有版本

误差概述

WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设小我私家博客网站。

Total Donations Plugin是使用在其中的一个网站捐赠治理插件，现在已经放弃维护。

该插件的代码包括几个设计缺陷，这些缺陷从整体上将插件和WordPress网站袒露在不清静的情形中，插件的migla_ajax_functions.php文件保存会见控制过失误差，任何未履历证的远程攻击者都可以操作该插件。攻击者可通过向wp-admin/admin-ajax.php文件发送请求使用该误差更新恣意WordPress 站点的焦点设置项的数值，更改插件相关的设置，修改通过插件收到的捐钱的目的帐户，甚至检索Mailchp 邮件列表，进而控制网站。

作为一个商业产品，该插件不会有一个重大的用户群。但该插件最有可能装置在拥有大宗用户群的 WordPress 网站上，这些网站是黑客的主要目的。

误差使用

暂无POC/EXP.

修复建议：

现在厂商暂未宣布修复步伐解决此清静问题，建议删除整个插件。

参考链接：

https://www.zdnet.com/article/wordpress-sites-under-attack-via-zero-day-in-abandoned-plugin/

https://www.wordfence.com/blog/2019/01/wordpress-sites-compromised-via-zero-day-vulnerabilities-in-total-donations-plugin/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究