WordPress用户注意了,如果你们用的是miniOrange的恶意软件扫描器和网络应用防火墙插件,现在有个紧急情况。发现了一

WordPress用户注意了,如果你们用的是miniOrange的恶意软件扫描器和网络应用防火墙插件,现在有个紧急情况。发现了一个严重的安全漏洞,所以建议大家赶紧从自己的网站上删掉这些插件。 这个漏洞被追踪编号为CVE-2024-2172,在CVSS评分系统中的评分高达9.8分,满分是10分。它影响到以下两个插件的这些版本 - •(versions <= 4.7.2) •(versions <= 2.1.1) 值得注意的是,自2024年3月7日起,这些插件已被维护人员永久关闭。Wordfence上周报告说:“这个漏洞使得未经认证的攻击者可以通过更新用户密码来为自己授予管理员权限。” 这个问题是由于函数mo_wpns_init()中缺少一个权限检查造成的,这使得未经认证的攻击者能够随意更新任何用户的密码,并将他们的权限提升到管理员级别,这可能导致网站被完全攻破。 Wordfence表示,一旦攻击者获得了WordPress网站的管理员权限,他们就可以像正常的管理员一样操控目标网站上的任何内容。 这包括上传插件和主题文件的能力,这些文件可能是包含后门的恶意zip文件,以及修改文章和页面的能力,这可以被利用来将网站用户重定向到其他恶意网站或注入垃圾内容。 标签: #WordPress #网络安全 频道: @GodlyNews1 投稿: @GodlyNewsBot

相关推荐

封面图片

WordPress 插件被植入后门

WordPress 插件被植入后门 在一次供应链攻击中,安装在多达 3.6 万个 WordPress 网站上的插件被植入了后门。受影响的扩展包括:Social Warfare(安装量三万),BLAZE Retail Widget(10)、Wrapper Link Elementor(一千)、Contact Form 7 Multi-Step Addon(七百)、Simply Show Hooks(四千),这些扩展都托管在官网 WordPress.org 上,过去一周未知攻击者在更新中加入了恶意功能,能自动创建管理权限账号,允许攻击者完全控制相关网站。安全公司 Wordfence 的研究人员称,恶意后门的植入最早发生在 6 月 21 日。任何安装了这些插件的人都应该立即卸载,并检查是否有最近创建的管理员账号。 via Solidot
封面图片

WordPress 插件 ACF 被曝高危漏洞

WordPress 插件 ACF 被曝高危漏洞 Advanced Custom Fields(ACF)是一款使用频率较高的 WordPress 插件,已在全球超过 200 万个站点安装,近日曝光该插件存在 XSS(跨站点脚本)的高危漏洞。 ACF 的这个 XSS 漏洞允许网站在未经站长允许的情况下,未授权用户潜在地窃取敏感信息。 恶意行为者可能会利用插件的漏洞注入恶意脚本,例如重定向、广告和其他 HTML 有效负载。如果有用户访问被篡改的网站之后,用户设备就会感染并执行恶意脚本。目前官方已经发布了 6.16 版本更新,修复了上述漏洞。 来源 , 来自:雷锋 频道:@kejiqu 群组:@kejiquchat 投稿:@kejiqubot
封面图片

WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响

WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响 Ultimate Member 是 WordPess 博客平台中一款相当受欢迎的“用户登录系统”插件。安全公司 Wordfence 目前曝出该插件存在零日漏洞,黑客可将自己的账号提权为管理员,进而控制接管网站。 据悉,该插件存在编号为 CVE-2023-3460 的重大漏洞,风险评分为 9.8,黑客可利用该漏洞,绕过此插件内置的各项安全措施,修改账号的 wp_capabilities 配置数据,以将黑客的账号设置为管理员角色,进而控制受害网站。 插件开发者在 6 月 26 日发布 Ultimate Member 2.6.3 版本进行了该漏洞进行了部分修复,此后在 7 月 1 日发布了 2.6.7 版本,完全修复了该漏洞。 来源:
封面图片

在WordPress营销插件OptinMonster中发现了一个关键漏洞,该插件用于创建订阅表单。该插件非常受欢迎 它已经被安

在WordPress营销插件OptinMonster中发现了一个关键漏洞,该插件用于创建订阅表单。该插件非常受欢迎 它已经被安装在100多万个网站上。 这都是由于API端点实现得不好。特别有问题的是 /wp-json/omapp/v1/support:很多数据可以通过它被提取出来,包括API密钥。然后,入侵者就可以注入任意的JavaScript代码,改变插件设置,设置恶意的重定向,还可以做许多其他讨厌的事。而且不需要认证 这很容易被绕过。 技术细节见下面WordFencе报告。 发现该漏洞的研究人员建议该插件完全重新设计API。幸运的是,开发商也有同样的看法,所以他们会在未来几周内解决这个问题。现在,最好是将该插件更新到安全版本,并生成新的API密钥,以防万一。 #ThreatIntelligence #Security
封面图片

今天,WordPress.com发布了一个官方的ActivityPub插件,博客和其他出版商使用WordPress来托管他们的网

今天,WordPress.com发布了一个官方的ActivityPub插件,博客和其他出版商使用WordPress来托管他们的网站,现在可以使用它来加入这个多样化的论坛。 ActivityPub允许社交网络跨平台交流,这意味着用户可以在任何地方看到并参与其他平台上的内容,而无需创建新账户。今年早些时候,WordPress.com的所有者Automattic收购了ActivityPub for WordPress插件,现在任何人都可以通过WordPress设置安装该功能。 标签: #WordPress #ActivityPub 频道: @GodlyNews1 投稿: @GodlyNewsBot
封面图片

重要: 宝塔 WAF 防火墙存在 SQL 注入漏洞,攻击者可通过漏洞执行任意指令

重要: 宝塔 WAF 防火墙存在 SQL 注入漏洞,攻击者可通过漏洞执行任意指令 最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的SQL注入漏洞。在测试宝塔WAF的未授权访问漏洞时,作者无意中发现了一个可以执行任意SQL语句的SQL注入漏洞。这个漏洞存在于宝塔WAF的get_site_status API中,由于server_name参数没有进行适当的校验,直接被用于SQL查询,从而导致了SQL注入的风险。 漏洞原理:这个宝塔SQL注入漏洞的原理基于对server_name参数的不当处理。在宝塔 WAF 的get_site_status API中,server_name参数没有进行适当的校验和清洗,直接被用于构造SQL查询。这种处理方式使得攻击者可以通过构造恶意的server_name参数值来操纵SQL语句,从而实现SQL注入攻击。 通过构造特定的请求,作者成功地利用这个漏洞执行了SQL命令,包括获取数据库名称和MySQL版本信息,以及执行任意SQL查询。这表明攻击者可以利用这个漏洞对数据库进行任意操作 官方响应:目前宝塔官方尚未对这个问题进行公开回复,可能已通过暗改方式修复,但用户仍需要注意 安全建议: 1. 宝塔用户应该立即检查自己的系统,看是否存在被这个漏洞利用的迹象。 2. 关注宝塔官方的通告和更新,及时安装最新的安全补丁。 3. 考虑采取额外的安全措施,比如使用第三方的安全工具来增强WAF的防护能力。 注:用户卸载 WAF 也可避免该问题 参考信息:

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人