專門提供網路應用安全服務的WebARX在本周揭露,WordPress外掛程式ThemeGrill Demo Importer含有一安全漏洞,將允許駭客把網站的資料庫回復成預設狀態,等於是清除了整個資料庫,或是取得網站的管理員權限。

ThemeGrill Demo Importer屬於主題外掛程式,WordPress用戶部署該外掛程式之後,即可匯入ThemeGrill官方主題的示範內容、小工具及主題設定,估計約有20萬個WordPress網站安裝了該外掛。

研究顯示,只要使用者啟用該外掛,並安裝了來自ThemeGrill的主題,未經授權的駭客就能夠自遠端傳送一個酬載,以將資料庫回復成預設值,若資料庫中含有admin用戶,亦可自動登入為管理員。

WebARX指出,該漏洞自3年前就存在了,波及ThemeGrill Demo Importer 1.3.4到1.6.1版,由於該酬載表面看來並無惡意,因此並不會被防火牆封鎖,而可能造成重大的資料損失。

ThemeGrill Demo Importer已修補該漏洞並釋出新版,WebARX呼籲該外掛程式的用戶應儘速更新。


Advertisement

更多 iThome相關內容