一個(gè)Word Press插件被發(fā)現(xiàn)包含“容易利用的”安全問(wèn)題，攻擊者可以利用這些問(wèn)題來(lái)獲得對(duì)脆弱網(wǎng)站的完全控制。

該插件被稱為WP數(shù)據(jù)庫(kù)重置，它用于重置數(shù)據(jù)庫(kù)，而不必經(jīng)過(guò)標(biāo)準(zhǔn)的Word Press安裝過(guò)程。安全問(wèn)題有可能影響到許多網(wǎng)站，因?yàn)閃ord Press圖書館說(shuō)它活躍在超過(guò)80,000個(gè)網(wǎng)站上。

根據(jù)公司的說(shuō)法，Word Fense安全團(tuán)隊(duì)發(fā)現(xiàn)了兩個(gè)嚴(yán)重的漏洞，其中任何一個(gè)漏洞都可以用來(lái)強(qiáng)制一個(gè)完整的網(wǎng)站重置或接管。

Wordfense的Chloe Chamberland在一篇博客文章中解釋了這些漏洞對(duì)網(wǎng)站的破壞性，他說(shuō)：

“Word Press數(shù)據(jù)庫(kù)存儲(chǔ)構(gòu)成網(wǎng)站的所有數(shù)據(jù)，包括帖子、頁(yè)面、用戶、網(wǎng)站選項(xiàng)、評(píng)論等。只要幾次簡(jiǎn)單的點(diǎn)擊和幾秒鐘的時(shí)間，一個(gè)未經(jīng)認(rèn)證的用戶就可以將整個(gè)Word Press安裝清除，如果該安裝使用的是該插件的脆弱版本。

第一個(gè)關(guān)鍵的安全缺陷被跟蹤為CVE-2020-7048，由于沒(méi)有通過(guò)任何檢查來(lái)保護(hù)數(shù)據(jù)庫(kù)重置功能，它可以允許任何用戶在沒(méi)有身份驗(yàn)證的情況下重置任何數(shù)據(jù)庫(kù)表。

Word Fense發(fā)現(xiàn)的另一個(gè)漏洞被跟蹤為CVE-2020-7047，它允許任何經(jīng)過(guò)認(rèn)證的用戶授予自己的管理特權(quán)，同時(shí)也使他們能夠“通過(guò)簡(jiǎn)單的請(qǐng)求將所有其他用戶從表中刪除”。

Wordfense首先讓W(xué)P數(shù)據(jù)庫(kù)重置的開(kāi)發(fā)人員在1月8日驗(yàn)證了他們的發(fā)現(xiàn)后意識(shí)到了安全問(wèn)題。開(kāi)發(fā)商于1月13日作出回應(yīng)，并承諾第二天發(fā)布補(bǔ)丁，幾天后公開(kāi)披露漏洞。

WP數(shù)據(jù)庫(kù)重置插件的用戶應(yīng)盡快更新到最新版本（3.15版），以防止他們的網(wǎng)站被黑客劫持或完全清除。