栏目导航: 首页 > 漏洞预警 > 程序漏洞 > 内容

WordPress流量统计插件Slimstat存在高危漏洞 影响全球130万网站

www.hx99.net    时间: 2015-02-25    阅读: 次     整理: 华西安全网

WordPress最流行的插件之一、网站流量实时统计插件WP-Slimstat被曝存在高危漏洞,影响全球100万以上网站。

FreeBuf科普:了解WP-Slimstat

WP-Slimstat全称为Wettable Powder Slimstat,是WordPress上最流行的网站流量实时统计插件。全球共有7000万使用WordPress搭建的网站,其中有超过130万使用了WP-Slimstat这款插件。

WP SlimStat 是一个功能非常强大的WordPress实时统计分析插件,功能众多,而且有中文包,使用非常方便。其功能包括:

实时网络分析报告
兼容 W3 Total Cache 插件
灵活方便的管理界面(你可以自定义移动、隐藏模块)
符合 欧洲隐私法  (IP Anonymizer)
最准确的IP地理位置、浏览器和平台检测
可以通过多个过滤器查看分析数据(IP地址、浏览器、搜索词、用户 和其他)
可以给特定用户添加查看和管理的权限
平移和缩放JavaScript的世界地图,支持移动设备

漏洞描述

所有3.9.6以前版本的WP-Slimstat都包含一个简单可猜测的密钥,这个密钥被WP-Slimstat用来标记网站的访问者。只要该密钥被攻破,攻击者可以通过SQL注入(盲注)攻击目标网站以获取敏感的数据库信息,包括用户名、密码(hash)以及至关重要的wordpress安全密钥。

WP-Slimstat密钥仅仅是该插件安装时的时间戳(MD5 hash版本号),而诸如Internet Archive这种“网站时光机”可以帮助攻击者更轻松地猜出插件安装的时间。为此攻击者需要付出3千万次的猜解测试,而对于流行的CPU来说,这种量级的暴力破解只需要10分钟。

安全专家建议所有使用这款流行插件的站长尽快进行升级。

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭