专门提供网络应用安全服务的WebARX在本周披露,WordPress插件程序ThemeGrill Demo Importer含有一安全漏洞,将允许黑客把网站的数据库回复成默认状态,等于是清除了整个数据库,或是取得网站的管理员权限。
ThemeGrill Demo Importer属于主题插件程序,WordPress用户部署该插件程序之后,即可导入ThemeGrill官方主题的示范内容、小工具及主题设置,估计约有20万个WordPress网站安装了该插件。
研究显示,只要用户激活该插件,并安装了来自ThemeGrill的主题,未经授权的黑客就能够自远程发送一个酬载,以将数据库回复成默认值,若数据库中含有admin用户,也可自动登录为管理员。
WebARX指出,该漏洞自3年前就存在了,波及ThemeGrill Demo Importer 1.3.4到1.6.1版,由于该酬载表面看来并无恶意,因此并不会被防火墙封锁,而可能造成重大的数据损失。
ThemeGrill Demo Importer已修补该漏洞并发布新版,WebARX呼吁该插件程序的用户应尽快更新。