WP Fastest Cache Patches Authentic SQL Injection and Stored XSS via CSRF Vulnerabilities

Jetpack Scan 团队发布了最近在 WP Fastest Cache 插件中发现的两个问题的摘要Authenticated SQL Injection 漏洞和 Stored XSS Via CSRF 漏洞.

“如果被利用，SQL 注入漏洞可能允许攻击者访问受影响站点数据库中的特权信息(例如，用户名和散列密码)，”自动安全研究工程师 Marc Montpas 说.此特定漏洞只能在安装并激活 Classic Editor 插件的站点上利用.

“成功利用 CSRF 和存储型 XSS 漏洞可以使不良行为者执行他们所针对的登录管理员被允许在目标站点上执行的任何操作，”蒙帕斯说.他还发现，攻击者可能会"滥用其中一些选项，在受影响的网站上存储流氓 Javascript."

WP Fastest Cache 在超过 100 万个 WordPress 网站上处于活跃状态，该插件还报告了 58,322 名付费用户.插件作者 Emre Vona 修补了本周发布的 0.9.5 版本中的漏洞.Jetpack 建议用户尽快更新，因为这两个漏洞如果被利用都会对技术造成很大影响.