WordPress流量统计插件Slimstat存在高危漏洞,影响全球100万以上网站

WordPress最流行的插件之一、网站流量实时统计插件WP-Slimstat被曝存在高危漏洞,影响全球100万以上网站。所有3.9.6以前版本的WP-Slimstat都包含一个简单可猜测的密钥,这个密钥被WP-Slimstat用来标记网站的访问者。只要该密钥被攻破,攻击者可以通过SQL注入(盲注)攻击目标网站以获取敏感的数据库信息,包括用户名、密码(hash)以及至关重要的wordpress安全密钥。

    WP-Slimstat密钥仅仅是该插件安装时的时间戳(MD5 hash版本号),而诸如Internet Archive这种“网站时光机”可以帮助攻击者更轻松地猜出插件安装的时间。为此攻击者需要付出3千万次的猜解测试,而对于流行的CPU来说,这种量级的暴力破解只需要10分钟。
    安全专家建议所有使用这款流行插件的站长尽快进行升级。

 

【关闭页面】