在WordPress营销插件OptinMonster中发现了一个关键漏洞,该插件用于创建订阅表单。该插件非常受欢迎 它已经被安

在WordPress营销插件OptinMonster中发现了一个关键漏洞,该插件用于创建订阅表单。该插件非常受欢迎 它已经被安装在100多万个网站上。 这都是由于API端点实现得不好。特别有问题的是 /wp-json/omapp/v1/support:很多数据可以通过它被提取出来,包括API密钥。然后,入侵者就可以注入任意的JavaScript代码,改变插件设置,设置恶意的重定向,还可以做许多其他讨厌的事。而且不需要认证 这很容易被绕过。 技术细节见下面WordFencе报告。 发现该漏洞的研究人员建议该插件完全重新设计API。幸运的是,开发商也有同样的看法,所以他们会在未来几周内解决这个问题。现在,最好是将该插件更新到安全版本,并生成新的API密钥,以防万一。 #ThreatIntelligence #Security

相关推荐

封面图片

WordPress 插件 ACF 被曝高危漏洞

WordPress 插件 ACF 被曝高危漏洞 Advanced Custom Fields(ACF)是一款使用频率较高的 WordPress 插件,已在全球超过 200 万个站点安装,近日曝光该插件存在 XSS(跨站点脚本)的高危漏洞。 ACF 的这个 XSS 漏洞允许网站在未经站长允许的情况下,未授权用户潜在地窃取敏感信息。 恶意行为者可能会利用插件的漏洞注入恶意脚本,例如重定向、广告和其他 HTML 有效负载。如果有用户访问被篡改的网站之后,用户设备就会感染并执行恶意脚本。目前官方已经发布了 6.16 版本更新,修复了上述漏洞。 来源 , 来自:雷锋 频道:@kejiqu 群组:@kejiquchat 投稿:@kejiqubot
封面图片

WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响

WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响 Ultimate Member 是 WordPess 博客平台中一款相当受欢迎的“用户登录系统”插件。安全公司 Wordfence 目前曝出该插件存在零日漏洞,黑客可将自己的账号提权为管理员,进而控制接管网站。 据悉,该插件存在编号为 CVE-2023-3460 的重大漏洞,风险评分为 9.8,黑客可利用该漏洞,绕过此插件内置的各项安全措施,修改账号的 wp_capabilities 配置数据,以将黑客的账号设置为管理员角色,进而控制受害网站。 插件开发者在 6 月 26 日发布 Ultimate Member 2.6.3 版本进行了该漏洞进行了部分修复,此后在 7 月 1 日发布了 2.6.7 版本,完全修复了该漏洞。 来源:
封面图片

今天,WordPress.com发布了一个官方的ActivityPub插件,博客和其他出版商使用WordPress来托管他们的网

今天,WordPress.com发布了一个官方的ActivityPub插件,博客和其他出版商使用WordPress来托管他们的网站,现在可以使用它来加入这个多样化的论坛。 ActivityPub允许社交网络跨平台交流,这意味着用户可以在任何地方看到并参与其他平台上的内容,而无需创建新账户。今年早些时候,WordPress.com的所有者Automattic收购了ActivityPub for WordPress插件,现在任何人都可以通过WordPress设置安装该功能。 标签: #WordPress #ActivityPub 频道: @GodlyNews1 投稿: @GodlyNewsBot
封面图片

WordPress.com现在提供对 ActivityPub 的官方支持

WordPress.com现在提供对 ActivityPub 的官方支持 据报道,使用 WordPress 托管其网站的博主和其他发布商现在可以通过WordPress.com今天宣布的官方 ActivityPub 插件加入联邦宇宙。 ActivityPub 允许社交网络跨平台对话,这意味着用户可以从所在位置查看并参与其他平台上的内容,而无需创建新帐户。 WordPress.com所有者 Automattic 今年早些时候收购了适用于 WordPress 的 ActivityPub 插件,现在任何人都可以通过 WordPress 设置安装该功能,该功能将在所有计划中提供。 对于WordPress.com博客,受众将能够通过 Mastodon 等其他联邦宇宙平台关注发布者。其他平台上的回复将自动转化为发布者 WordPress 帖子的评论,使他们能够直接与平台外的受众进行互动。
封面图片

WordPress用户注意了,如果你们用的是miniOrange的恶意软件扫描器和网络应用防火墙插件,现在有个紧急情况。发现了一

WordPress用户注意了,如果你们用的是miniOrange的恶意软件扫描器和网络应用防火墙插件,现在有个紧急情况。发现了一个严重的安全漏洞,所以建议大家赶紧从自己的网站上删掉这些插件。 这个漏洞被追踪编号为CVE-2024-2172,在CVSS评分系统中的评分高达9.8分,满分是10分。它影响到以下两个插件的这些版本 - •(versions <= 4.7.2) •(versions <= 2.1.1) 值得注意的是,自2024年3月7日起,这些插件已被维护人员永久关闭。Wordfence上周报告说:“这个漏洞使得未经认证的攻击者可以通过更新用户密码来为自己授予管理员权限。” 这个问题是由于函数mo_wpns_init()中缺少一个权限检查造成的,这使得未经认证的攻击者能够随意更新任何用户的密码,并将他们的权限提升到管理员级别,这可能导致网站被完全攻破。 Wordfence表示,一旦攻击者获得了WordPress网站的管理员权限,他们就可以像正常的管理员一样操控目标网站上的任何内容。 这包括上传插件和主题文件的能力,这些文件可能是包含后门的恶意zip文件,以及修改文章和页面的能力,这可以被利用来将网站用户重定向到其他恶意网站或注入垃圾内容。 标签: #WordPress #网络安全 频道: @GodlyNews1 投稿: @GodlyNewsBot
封面图片

- 来自 BitSight 的IS专家在流行的 MiCODUS MV GPS 追踪器中发现了一系列关键漏洞,该追踪器配备在全球多

- 来自 BitSight 的IS专家在流行的 MiCODUS MV GPS 追踪器中发现了一系列关键漏洞,该追踪器配备在全球多万辆汽车上。 - 成功利用所发现的漏洞,攻击者可以控制追踪器,在人们不知情的情况下追踪他们的位置、控制车辆燃料供应、甚至禁用警报器。 - 此外,脆弱的GPS追踪器甚至可以对整个国家的国家安全构成威胁,因为美国和欧洲的一些军事和政府组织都在使用MiCODUS。 #China #ThreatIntelligence

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人