流行WordPress流量统计插件Slimstat存在高危漏洞,影响全球130万网站

2015-02-26 228723人围观 ,发现 2 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

WordPress最流行的插件之一、网站流量实时统计插件WP-Slimstat被曝存在高危漏洞,影响全球100万以上网站。

FreeBuf科普:了解WP-Slimstat

WP-Slimstat全称为Wettable Powder Slimstat,是WordPress上最流行的网站流量实时统计插件。全球共有7000万使用WordPress搭建的网站,其中有超过130万使用了WP-Slimstat这款插件。

WP SlimStat 是一个功能非常强大的WordPress实时统计分析插件,功能众多,而且有中文包,使用非常方便。其功能包括:

实时网络分析报告
兼容 W3 Total Cache 插件
灵活方便的管理界面(你可以自定义移动、隐藏模块)
符合 欧洲隐私法  (IP Anonymizer)
最准确的IP地理位置、浏览器和平台检测
可以通过多个过滤器查看分析数据(IP地址、浏览器、搜索词、用户 和其他)
可以给特定用户添加查看和管理的权限
平移和缩放JavaScript的世界地图,支持移动设备

漏洞描述

所有3.9.6以前版本的WP-Slimstat都包含一个简单可猜测的密钥,这个密钥被WP-Slimstat用来标记网站的访问者。只要该密钥被攻破,攻击者可以通过SQL注入(盲注)攻击目标网站以获取敏感的数据库信息,包括用户名、密码(hash)以及至关重要的wordpress安全密钥。

WP-Slimstat密钥仅仅是该插件安装时的时间戳(MD5 hash版本号),而诸如Internet Archive这种“网站时光机”可以帮助攻击者更轻松地猜出插件安装的时间。为此攻击者需要付出3千万次的猜解测试,而对于流行的CPU来说,这种量级的暴力破解只需要10分钟。

安全专家建议所有使用这款流行插件的站长尽快进行升级。

[消息来源:THN,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

相关推荐

这些评论亮了

  • banish (6级) 天地不仁 万物刍狗 回复
    什么也不说了 :cry: 点赞,我刚刚编好,你的就出来了....
    )7( 亮了
发表评论

已有 2 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php