数千个 WordPress 网站因 tagDiv 插件漏洞遭到黑客攻击

数千个WordPress网站因tagDiv插件漏洞遭到黑客攻击千个运行WordPress内容管理系统的网站已被一个多产的黑客攻击，黑客利用了一个广泛使用的插件中最近修补的漏洞。该易受攻击的插件称为tagDivComposer，是使用两个WordPress主题（和）的强制要求。这些主题可通过ThemeForest和Envato市场获得，下载量超过155,000次。该漏洞编号为CVE-2023-3169，是所谓的跨站点脚本(XSS)缺陷，允许黑客将恶意代码注入网页。该漏洞由越南研究员发现，严重程度为7.1级（满分10级）。该漏洞在tagDivComposer4.1版中部分修复，并在4.2版中完全修补。Source:ViaHuaHua投稿：@ZaiHuaBot频道：@TestFlightCN

多个 WordPress 插件在持续的供应链攻击中被植入后门

多个WordPress插件在持续的供应链攻击中被植入后门安全研究人员周一表示，多达36,000个网站上运行的WordPress插件在来源不明的供应链攻击中被植入后门。用户安装后该更新会自动创建一个由攻击者控制的管理帐户，该帐户可以完全控制受感染的站点，更新还添加了旨在提高搜索结果的内容。目前已确认有5个插件受影响，如有安装请尽快卸载，并仔细检查相关网站是否有最近创建的管理员帐户以及恶意或未经授权的内容。此外，建议检查网站是否有来自IP地址94.156.79.8的连接以及用户名为Options或PluginAuth的管理员帐户。关注频道@ZaiHuaPd频道爆料@ZaiHuabot