Loginizer 插件对影响 100 万用户的漏洞进行强制安全更新
WordPress.org 推出了 Loginizer 插件的强制安全更新,该插件在超过 100 万个网站上处于活跃状态.该插件在其免费版本中提供强力保护,并在其商业升级中提供其他安全功能,如两因素身份验证、reCAPTCHA 和 PasswordLess 登录.
上周,安全研究员 Slavco Mihajloski 发现了一个未经身份验证的 SQL 注入漏洞和一个 XSS 漏洞,他向插件作者披露了该漏洞.Loginizer 1.6.4 版本于 2020 年 10 月 16 日发布,针对这两个问题做了补丁,总结在插件的博客上:
1) [安全修复]:用于登录的精心设计的用户名可能会导致 SQL 注入.这已通过使用 PHP 中的准备函数修复,该函数为安全执行准备 SQL 查询.
2) [安全修复]:如果 IP HTTP 标头被修改为具有空字节,则可能导致存储的 XSS.这已通过在使用之前正确清理 IP HTTP 标头来解决.
Loginizer 直到今天才公开该漏洞,以便让用户有时间升级.鉴于漏洞的严重性,WordPress.org 的插件团队向所有在 WordPress 3.7+ 上运行 Loginizer 的站点推送了安全更新.
在 2020 年 7 月,Loginizer 被 Softaculous 收购,因此该公司还能够使用使用 Softaculous 创建的 Loginizer 自动升级任何 WordPress 安装.这项工作与 WordPress.org 的更新相结合,覆盖了 Loginizer 的大部分用户群.
VPS1352主机测评网(www.vps1352.com)
本文链接:https://www.vps1352.com/7412.html