Wordfence发布了一份关于限制登录尝试 Limit Login Attempts 插件中严重的未经身份验证的存储跨站点脚本漏洞的安全公告,该插件在超过 600,000 个 WordPress 站点上处于活动状态。
该安全问题由 Wordfence 安全研究员 Marco Wotschka 于 2023 年 1 月发现。它已提交给 WordPress 插件安全团队,该团队在近两个月后的 2023 年 3 月 24 日确认收到了该报告。
Wotschka 说:“未经身份验证的攻击者可以利用这一点,通过将恶意 JavaScript 注入受影响站点的数据库来促进站点接管,该脚本可能在站点管理员访问日志页面时执行。”
该插件的1.7.2 版本修补了该漏洞。它于 4 月 4 日发布,在更新日志中有一条注释简单地写着“安全修复”。1.7.1 版和之前的版本仍然容易受到攻击。
2021 年 8 月,该插件拥有超过 90 万活跃用户,2018 年超过 200 万,但似乎正在慢慢死亡,不再维护,因为它多年没有更新。
Wordfence 在关于如何利用插件的咨询中提供了更多详细信息,并建议用户立即更新。
