WordPress外掛ThemeGrill Demo Importer可讓駭客清除資料庫，波及20萬網站

專門提供網路應用安全服務的WebARX在本周揭露，WordPress外掛程式ThemeGrill Demo Importer含有一安全漏洞，將允許駭客把網站的資料庫回復成預設狀態，等於是清除了整個資料庫，或是取得網站的管理員權限。

ThemeGrill Demo Importer屬於主題外掛程式，WordPress用戶部署該外掛程式之後，即可匯入ThemeGrill官方主題的示範內容、小工具及主題設定，估計約有20萬個WordPress網站安裝了該外掛。

研究顯示，只要使用者啟用該外掛，並安裝了來自ThemeGrill的主題，未經授權的駭客就能夠自遠端傳送一個酬載，以將資料庫回復成預設值，若資料庫中含有admin用戶，亦可自動登入為管理員。

WebARX指出，該漏洞自3年前就存在了，波及ThemeGrill Demo Importer 1.3.4到1.6.1版，由於該酬載表面看來並無惡意，因此並不會被防火牆封鎖，而可能造成重大的資料損失。

ThemeGrill Demo Importer已修補該漏洞並釋出新版，WebARX呼籲該外掛程式的用戶應儘速更新。