性价比最高的香港ASP、PHP主机提供商
做网站,就上凡科建站

警惕!W3 Total Cache 存在高危XSS漏洞

Loading
0
Comodo SLL证书促销 - 免费ssl证书申请_ssl证书购买_ev ssl证书_https证书购买 - GDCA_数安时代

2016-09-24_093348

W3 Total Cache 是一款非常热门的缓存插件,可以大大提高网站的速度,全球安装量达百万次以上。近日,WP Media 报告了 W3 Total Cache 存在高危XSS漏洞 的事件,漏洞信息最早在 Zerial 的博客披露,而插件作者没有及时提供修复更新。

该漏洞存在于W3 Total Cacheh设置后台内置的一个反馈表单:

2016-09-24_094657

该页面可以直接通过网址附带参数进行访问,并且这些参数将直接填入表单并执行。比如:

1
https://example.com/wp-admin/admin.php?page=w3tc_support&request_type=bug_report&request_id=PAYLOAD

最后面的 PAYLOAD 可以替换为任何js或html代码,也就是说,通过这些代码,你可以写入任何内容到WP后台!

倡萌不懂这方面的技术,但是世界上懂这方面技术的人多了去了,所以……

W3 Total Cache 的更新和维护一直跟不上,倡萌建议,最好大家还是换其他的缓存插件吧,毕竟,只有经常维护更新的插件,可靠性才高些。

支付宝扫码打赏 微信打赏

如果文章对你有帮助,欢迎点击上方按钮打赏作者

MetInfo | 最适合企业网站建设的cms系统

关于 倡萌

一个疯狂的 WordPress 爱好者,喜欢折腾 WordPress 主题,分享 WordPress 资源。如果你也喜欢 WordPress,欢迎和我一起交流!

精彩推荐

WordPress 4.3 beta 3 发布

WordPress 4.3 beta 3 发布

WordPress 3.8.2 和 3.9 RC 发布

WordPress 3.8.2 和 3.9 RC 发布

1 条评论

  1. 动感单车网

    这款缓存插件还从未用过,倒是那款《超级缓存插件》咱的博客一直在用,感觉还算不错!

发表评论