高危!WordPress Hide My WP 多个漏洞

admin
admin
admin
138858
文章
114
评论
2021年12月6日10:31:59评论235 views字数 1183阅读3分56秒阅读模式
                     


点击上方 订阅话题 第一时间了解漏洞威胁

高危!WordPress Hide My WP 多个漏洞

0x01 漏洞描述


Hide My WP 是 WordPress 排名第一的安全插件。它可以对攻击者、垃圾邮件发送者和主题检测器隐藏用户的 WordPress。超过 26,000 名客户使用 Hide My WP。它还会隐藏用户的 wp 登录 URL 并重命名管理 URL。它可以检测并阻止 WordPress 网站上的 XSS、SQL 注入类型的安全攻击。
高危!WordPress Hide My WP 多个漏洞

2021年12月6日,360漏洞云团队监测到WordPress发布安全公告,修复了两个存在于WordPress Hide My WP中的漏洞。其中,1个高危漏洞,1个中危漏洞。漏洞详情如下:

 CVE-2021-36916

漏洞等级:高危(8.6)

漏洞类型:SQL注入

漏洞描述:该漏洞的存在是由于使用 IP 地址标头的“hmwp_get_user_ip”函数中用户提供的数据清理不足。远程攻击者可以向受影响的应用程序发送特制的请求,并在应用程序数据库中执行任意 SQL 命令。

 CVE-2021-36917

漏洞等级:中危(6.5)

漏洞类型:访问控制不当

漏洞描述:该漏洞的存在是由于重置令牌中的访问限制不当造成的。远程攻击者可以停用插件并执行拒绝服务 (DoS) 攻击。


0x02 危害等级


高危

0x03 影响版本


WordPress Hide My WP <=6.2.3

0x04 修复建议


厂商已发布升级修复漏洞,用户请尽快更新至安全版本:
WordPress Hide My WP 6.2.4

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

0x05 时间轴


2021-09-29 -  Patchstack发现漏洞,并向所有 Patchstack 付费版本客户发布了一个虚拟补丁。
2021-09-29 -  Patchstack联系了插件的开发者。
2021-10-26 - 开发者发布了新的插件版本 6.2.4,修复了漏洞。
2021-11-24 - 将漏洞添加到 Patchstack 漏洞数据库。
2021-12-06 - 360漏洞云监测到该漏洞并发布安全动态。

0x06 获取更多情报


建议您订阅360漏洞云-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。

电话:010-52447660
邮箱:[email protected]
网址:https://loudongyun.360.cn

360漏洞云介绍
360安全大脑漏洞云以技术为驱动,以安全专家为核心,围绕漏洞生态体系打造集漏洞监测、漏洞收集、漏洞挖掘、漏洞存储、漏洞管理、专家响应、漏洞情报预警、安全服务定制化于一体的漏洞安全一站式服务,帮助客户防患于未然,在降低资产风险的同时,大幅提升客户对漏洞感知、预警、分析等响应能力,为国家、政企客户、用户抢占风险预警处置先机,提升网络安全主动防护能力。

原文始发于微信公众号(360漏洞云):高危!WordPress Hide My WP 多个漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月6日10:31:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   高危!WordPress Hide My WP 多个漏洞https://cn-sec.com/archives/662601.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息