WordPress 第三方“用户登录系统”插件曝零日提权漏洞，20 万网站受影响

WordPress 第三方“用户登录系统”插件曝零日提权漏洞，20 万网站受影响 Ultimate Member 是 WordPess 博客平台中一款相当受欢迎的“用户登录系统”插件。安全公司 Wordfence 目前曝出该插件存在零日漏洞，黑客可将自己的账号提权为管理员，进而控制接管网站。 据悉，该插件存在编号为 CVE-2023-3460 的重大漏洞，风险评分为 9.8，黑客可利用该漏洞，绕过此插件内置的各项安全措施，修改账号的 wp_capabilities 配置数据，以将黑客的账号设置为管理员角色，进而控制受害网站。 插件开发者在 6 月 26 日发布 Ultimate Member 2.6.3 版本进行了该漏洞进行了部分修复，此后在 7 月 1 日发布了 2.6.7 版本，完全修复了该漏洞。 来源：

WordPress 拥抱分布式网络，网站所有者可与 Fediverse 整合，更容易使用包括 Mastodon 在内的平台

WordPress 拥抱分布式网络，网站所有者可与 Fediverse 整合，更容易使用包括 Mastodon 在内的平台 网站现在有了一种更容易与Fediverse整合的方式，包括Mastodon。Automattic是、Tumblr和其他网络发布工具背后的公司，据Automattic首席执行官Matt Mullenweg称，该公司是ActivityPub for WordPress插件的新主人，还招募了其开发者来为该公司工作。 新收购的这个插件允许和的博客所有者在联合平台上接触读者，比如Twitter的竞争对手Mastodon和其他平台。一旦安装，读者就能在他们喜欢的联合平台上关注WordPress博客，查看博文并回复评论。发布到Mastodon等联合网站上的回复就会成为博文的评论。 开发者一直在努力改善该插件的WordPress集成，并增加对同步评论的支持。 目前，ActivityPub插件支持的联合平台包括Mastodon、Pleroma、Friendica、HubZilla、Pixelfed、SocialHome和Misskey。根据它的统计页面，到目前为止，它已经被下载了超过35000次。

#柬埔寨 #3King公司 管理层涉暴力胁迫，受害者惊险逃脱！

#柬埔寨 #3King公司 管理层涉暴力胁迫，受害者惊险逃脱！ 受害者（越南籍）爆料，位于财通豪隆赌场的3King公司管理层存在严重暴力行为，幕后涉及湄公河赌场（Grand Dragon Casino）。 受害者自述经历： 2025年2月12日晚，公司行政（柬埔寨籍）以“拿电脑”为由叫我过去，结果刚到公司就翻脸，叫来几个中国亲戚围住我，威胁不准离开。所幸我反应快，成功逃脱，但身体还是受了伤。 涉事人员及恶行： • AC：管理层高层，手段心狠手辣，同时是老板亲弟弟。 • 老板天成（福建人）：AC的哥哥，3King老板。 • 麦子：天成的妻子，老板娘。 • 其他涉事人员：包括“队长”和“格子胖胖”，是追捕受害者的主要成员。 这些人在公司横行霸道，经常辱骂、殴打员工，甚至购买电击棒、威胁关小黑屋，毫无底线。 受害者表示，自己回国后将实名举报，并公开涉事人员照片，让他们付出代价。 #曝光 #柬埔寨 #新闻 全网曝光 @RJJJJ 聊天大群 @DDDDA

至少3000名泰国人被困柬埔寨 受害者痛述遭暴力胁迫与囚禁

至少3000名泰国人被困柬埔寨 受害者痛述遭暴力胁迫与囚禁 3月17日，在泰国国会，以马内利基金会副主席扎鲁瓦·金曼卡带领被中国诈骗团伙贩卖至柬埔寨的受害者，向泰国正义党不分区议员兼下议院法律及司法与人权委员会副主席甘那威·瑟先，递交求助信，请求政府帮助解决相关问题。 扎鲁瓦表示，许多受害者原本是人口贩卖的受害者，他们被诈骗团伙欺骗，以为自己将从事合法工作，如保安、清洁工等，然而最终却被非法监禁，手机被没收，并遭受严重虐待。目前，仍有数千名泰国人被困在柬埔寨多个地区的建筑内，不仅限于波贝，仅在波贝就有114人受困，年龄最小的14岁，最大73岁。受害者希望政府介入，帮助他们恢复正常生活，因为目前许多受害者的银行账户被冻结，部分人甚至被通缉或已经入狱，而真正的犯罪分子却仍然逍遥法外，继续从事人口贩卖活动，因此政府必须尽快采取措施解决这一问题。 甘那威表示，泰国政府近期在缅甸采取了“三断”措施，包括切断电力、燃油和互联网，以打击人口贩卖和诈骗团伙。这一举措导致问题向柬埔寨蔓延。

WordPress用户注意了，如果你们用的是miniOrange的恶意软件扫描器和网络应用防火墙插件，现在有个紧急情况。发现了一

WordPress用户注意了，如果你们用的是miniOrange的恶意软件扫描器和网络应用防火墙插件，现在有个紧急情况。发现了一个严重的安全漏洞，所以建议大家赶紧从自己的网站上删掉这些插件。 这个漏洞被追踪编号为CVE-2024-2172，在CVSS评分系统中的评分高达9.8分，满分是10分。它影响到以下两个插件的这些版本 - •(versions <= 4.7.2) •(versions <= 2.1.1) 值得注意的是，自2024年3月7日起，这些插件已被维护人员永久关闭。Wordfence上周报告说：“这个漏洞使得未经认证的攻击者可以通过更新用户密码来为自己授予管理员权限。” 这个问题是由于函数mo_wpns_init()中缺少一个权限检查造成的，这使得未经认证的攻击者能够随意更新任何用户的密码，并将他们的权限提升到管理员级别，这可能导致网站被完全攻破。 Wordfence表示，一旦攻击者获得了WordPress网站的管理员权限，他们就可以像正常的管理员一样操控目标网站上的任何内容。 这包括上传插件和主题文件的能力，这些文件可能是包含后门的恶意zip文件，以及修改文章和页面的能力，这可以被利用来将网站用户重定向到其他恶意网站或注入垃圾内容。 标签: #WordPress #网络安全 频道: @GodlyNews1 投稿: @GodlyNewsBot

#砍断受害者手臂，涉黑分子被判7年

#砍断受害者手臂，涉黑分子被判7年 12月25日，司法部发言人沈迪纳在出席一场新闻发布会上表示，柬埔寨法院将严厉制裁涉黑犯罪人员，绝不会让犯罪分子逍遥法外。 沈迪纳指出，今年2月6日，两名黑帮涉嫌砍断一名受害者的手臂，被法院判处7年和4年有期徒刑。 他说，法院会根据现行法律和犯罪情节来定罪，绝不会让涉黑人员逍遥法外。 由于金边和干拉省地区不良少年群殴、砍杀等犯罪事件频发，5月23日上午，洪玛耐首相下令各省省长、所有警察严厉打击扰乱社会秩序的黑帮和不良少年。