服务器防ddos_服务器防火墙关闭后又自动开启_解决方案

用于创建学习管理系统（LMS）的流行WordPress插件充满漏洞，可利用这些漏洞控制平台、获取测试答案和修改分数。

如今，此类平台已成为提供课程的主要工具。教师、教授，可能还有数十万学生——数十万学生依靠他们使教育水平尽可能接近正常水平。

LearnPress、LearnDash和LifterLMS是至少100000个网站的一部分。其中一些由认可的教育机构管理，局域网内ddos防御，如学校、学院和大学（佛罗里达州、华盛顿州、密歇根州）；其他用于公司提供培训课程（付费或免费）。

CheckPoint的安全研究人员分析了这三个WordPress插件，发现了一些可以利用的漏洞。他们在今天发布的报告中提供了技术细节。

他们总共发现了四个漏洞，可用于窃取个人信息（姓名、电子邮件、用户名、密码）、修改支付方案、更改分数、伪造证书、提前参加考试或成为教师。

一些漏洞可以在没有身份验证的情况下被利用，并实现远程代码执行，防御webcc攻击，这意味着外部攻击者可以接管LMS平台。

LearnPress 3.2.6.7及更早版本易受基于时间的盲SQL攻击‌ 注入（CVE-2020-6010），利用起来很简单，怎样防御ddos，可以通过准备好的SQL对用户输入进行适当的消毒来避免‌ 声明

利用此问题，经过身份验证的用户可以查询系统中的管理员用户名和哈希密码。破解密码取决于密码的强度。

同一平台上的另一个小故障（被追踪为CVE-2020-6011）允许攻击者通过提升系统权限来扮演教师角色。这可以通过利用产品中仍然存在的遗留代码来实现。

在低于3.1.6的LearnDash版本中，高防cdn504错误，研究人员发现了未经验证的二阶SQL‌ 注入（CVE-2020-6009），更难利用，但也可以通过准备好的声明加以阻止。

检查点研究人员Omri Herscovici和Sagi Tzadik在研究升降机LMS时发现，低于3.37.15的版本存在任意文件写入问题（CVE-2020-6008）。

攻击者只需在其名字中添加恶意PHP代码，即可利用此漏洞进行攻击。这可以让他们通过植入的webshell在服务器上实现代码执行。

在下面的视频中，您可以看到研究人员如何利用他们在WordPress的三个LMS插件中发现的漏洞：

Check Point已将发现的漏洞通知了这三个插件的开发人员，阿波罗ddos防御体系，并发布了新版本以解决问题。强烈建议运行这些插件的网站管理员安装更新。