WordPress流量统计插件Slimstat存在高危漏洞

安全 漏洞
WordPress最流行的插件之一、网站流量实时统计插件WP-Slimstat被曝存在高危漏洞,影响全球100万以上网站。

WordPress最流行的插件之一、网站流量实时统计插件WP-Slimstat被曝存在高危漏洞,影响全球100万以上网站。

WordPress流量统计插件Slimstat存在高危漏洞

科普:了解WP-Slimstat

WP-Slimstat全称为Wettable Powder Slimstat,是WordPress上最流行的网站流量实时统计插件。全球共有7000万使用WordPress搭建的网站,其中有超过130万使用了WP-Slimstat这款插件。

WP SlimStat 是一个功能非常强大的WordPress实时统计分析插件,功能众多,而且有中文包,使用非常方便。其功能包括:

实时网络分析报告
兼容W3 Total Cache 插件
灵活方便的管理界面(你可以自定义移动、隐藏模块)
符合 欧洲隐私法 (IP Anonymizer)
最准确的IP地理位置、浏览器和平台检测
可以通过多个过滤器查看分析数据(IP地址、浏览器、搜索词、用户 和其他)
可以给特定用户添加查看和管理的权限
平移和缩放JavaScript的世界地图,支持移动设备

漏洞描述

所有3.9.6以前版本的WP-Slimstat都包含一个简单可猜测的密钥,这个密钥被WP-Slimstat用来标记网站的访问者。只要该密钥被攻破,攻击者可以通过SQL注入(盲注)攻击目标网站以获取敏感的数据库信息,包括用户名、密码(hash)以及至关重要的wordpress安全密钥。

WP-Slimstat密钥仅仅是该插件安装时的时间戳(MD5 hash版本号),而诸如Internet Archive这种“网站时光机”可以帮助攻击者更轻松地猜出插件安装的时间。为此攻击者需要付出3千万次的猜解测试,而对于流行的CPU来说,这种量级的暴力破解只需要10分钟。

安全专家建议所有使用这款流行插件的站长尽快进行升级。

消息来源:http://thehackernews.com/2015/02/wordpress-slimstat-plugin.html

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2022-02-12 16:30:02

WordPress安全漏洞插件

2023-04-04 22:20:53

2015-03-13 19:22:03

2022-09-14 09:20:47

漏洞网络攻击

2023-07-03 12:03:08

2022-02-14 07:54:27

漏洞WordPress

2021-04-08 09:31:45

FacebookFacebook fo漏洞

2022-04-14 16:37:50

漏洞网络攻击插件

2023-08-31 19:11:07

2024-02-28 18:19:35

2010-11-04 09:26:56

2013-10-31 13:19:06

2017-12-07 09:01:40

2022-07-19 16:40:56

漏洞网络攻击

2014-11-27 09:26:23

2017-03-09 20:57:26

2021-09-05 08:34:47

漏洞网络安全网络攻击

2021-11-16 19:16:18

英特尔漏洞处理器

2023-12-13 18:41:39

2020-11-04 14:55:06

谷歌GitHub漏洞
点赞
收藏

51CTO技术栈公众号