Ivory Search WordPress 插件存在 XSS 漏洞影響 6 萬多個站點
研究人員在超過6萬個網站上安裝的Ivory Search WordPress插件存在跨站攻擊漏洞。
2021年3月28日,Astra安全威脅情報小組負責任地披露了Ivory Search中的一個漏洞,該Ivory Search索是一個安裝在60,000多個站點上的WordPress搜索插件。攻擊者可以利用此安全漏洞在受害者的網站上執行惡意操作。
Ivory Search-WordPress搜索插件允許其用戶為其WordPress網站創建新的自定義搜索表單。
由Jinson Varghese領導的威脅情報團隊最初于2021年3月28日與Ivory Search插件開發人員聯系,并提供了全部披露細節。開發人員于2021年3月29日做出回應,確認了此漏洞及其影響。然后一天后,該補丁程序于2021年3月30日發布。
這是嚴重程度中等的XSS漏洞,影響了Ivory Search插件版本4.6.0及更低版本。因此,我們強烈建議立即將此插件更新為包含補丁程序4.6.1的最新版本。
如果您使用的是Astra Security Suite – WordPress防火墻和惡意軟件掃描程序,則您的站點已受到此漏洞的保護。
Ivory Search中漏洞的時間表
- 2021年3月28日– Astra安全威脅情報小組發現并分析了該漏洞。
- 2021年3月28日–完整的漏洞披露信息已發送給Ivory Search插件的開發人員。
- 2021年3月29日– Astra Security收到了插件開發團隊的回復,確認了該漏洞,并且還通知我們該補丁應該在幾天內可用。
- 2021年3月30日–插件的修補程序版本發布。
“象牙搜索插件設置頁面上的特定組件未正確驗證,從而無法執行惡意JavaScript代碼。攻擊者可以利用此類漏洞執行惡意操作”,Jinson說。
如果您是Ivory Search插件的用戶之一,則強烈建議您將插件更新為完全修補的版本4.6.1。
Astra Security Suite – WordPress安全插件可以幫助保護您的網站
Astra Security Suite – WordPress安全插件,是WordPress網站的首選安全套件。使用Astra Security Suite保護您的網站,您不必擔心任何惡意軟件,信用卡黑客,SQLi,XSS,SEO垃圾郵件,評論垃圾郵件,暴力破解和100多種威脅。從使用Astra Security的防火墻進行24 * 7全天候監控到按需的惡意軟件掃描程序,Astra都可以完成所有工作。
如果您是WP插件或主題開發人員,則可以按照此DIY安全審核指南進行操作,以確保您的插件沒有安全漏洞。
