ASP站长网Total donor是一个易于使用但功能强大的WordPress插件,用于接受在线捐款。捐赠者可以使用一种直观的捐赠表格快速地为您的非营利组织、教会或政治组织捐款,而管理面板允许您轻松地管理您的任务、进度条和活动。
根据研究员Mikey Veenstra的说法,该插件的代码包含几个设计缺陷,它们将插件和WordPress网站暴露给一个不安全的环境。在周五发布的安全警报中,Veenstra表示该插件包含一个Ajax代码,任何未经身份验证的远程攻击者都可以使用该代码来操纵插件。
Ajax代码存储在插件的文件中,这意味着禁用插件并不能消除威胁,因为攻击者只需要直接调用文件,因此只删除整个插件可以保护站点免受攻击。此Ajax代码允许攻击者更改任何WordPress站点的核心设置的值,更改与插件相关的设置,修改通过插件接收的捐赠的目标帐户,甚至检索MailChimp邮件列表。
由 dawei
【声明】:九江站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。