WordPress 插件 ACF 被曝高危漏洞

WordPress 插件 ACF 被曝高危漏洞 Advanced Custom Fields（ACF）是一款使用频率较高的 WordPress 插件，已在全球超过 200 万个站点安装，近日曝光该插件存在 XSS（跨站点脚本）的高危漏洞。 ACF 的这个 XSS 漏洞允许网站在未经站长允许的情况下，未授权用户潜在地窃取敏感信息。 恶意行为者可能会利用插件的漏洞注入恶意脚本，例如重定向、广告和其他 HTML 有效负载。如果有用户访问被篡改的网站之后，用户设备就会感染并执行恶意脚本。目前官方已经发布了 6.16 版本更新，修复了上述漏洞。 来源 ， 来自：雷锋 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

安全网站披露 Linux 内核漏洞允许远程接管

安全网站披露 Linux 内核漏洞允许远程接管 卡巴斯基实验室安全新闻服务 Threatpost 网站发布的消息说： 该漏洞（CVE-2021-43267）存在于允许Linux节点相互发送加密密钥的TIPC消息类型。 Linux内核的透明进程间通信（TIPC）模块中存在一个关键的堆溢出安全漏洞，可能允许本地利用和远程代码执行，导致系统完全被破坏。 TIPC是一个点对点协议，由Linux集群内的节点以优化的方式相互通信；它可以实现各种类型的消息，用于不同的目的。根据SentinelOne的SentinelLabs，有关的错误（CVE-2021-43267）特别存在于一种允许节点相互发送加密密钥的消息类型中。当收到时，这些密钥可用于解密来自发送节点的进一步通信。 漏洞详情：

WordPress 插件被植入后门

WordPress 插件被植入后门 在一次供应链攻击中，安装在多达 3.6 万个 WordPress 网站上的插件被植入了后门。受影响的扩展包括：Social Warfare（安装量三万），BLAZE Retail Widget（10）、Wrapper Link Elementor（一千）、Contact Form 7 Multi-Step Addon（七百）、Simply Show Hooks（四千），这些扩展都托管在官网 WordPress.org 上，过去一周未知攻击者在更新中加入了恶意功能，能自动创建管理权限账号，允许攻击者完全控制相关网站。安全公司 Wordfence 的研究人员称，恶意后门的植入最早发生在 6 月 21 日。任何安装了这些插件的人都应该立即卸载，并检查是否有最近创建的管理员账号。 via Solidot