在WordPress营销插件OptinMonster中发现了一个关键漏洞,该插件用于创建订阅表单。该插件非常受欢迎 —— 它已经

在WordPress营销插件OptinMonster中发现了一个关键漏洞,该插件用于创建订阅表单。该插件非常受欢迎——它已经被安装在100多万个网站上。这都是由于API端点实现得不好。特别有问题的是/wp-json/omapp/v1/support:很多数据可以通过它被提取出来,包括API密钥。然后,入侵者就可以注入任意的JavaScript代码,改变插件设置,设置恶意的重定向,还可以做许多其他讨厌的事。而且不需要认证——这很容易被绕过。技术细节见下面WordFencе报告。发现该漏洞的研究人员建议该插件完全重新设计API。幸运的是,开发商也有同样的看法,所以他们会在未来几周内解决这个问题。现在,最好是将该插件更新到安全版本,并生成新的API密钥,以防万一。https://www.wordfence.com/blog/2021/10/1000000-sites-affected-by-optinmonster-vulnerabilities/#ThreatIntelligence#Security

相关推荐

封面图片

数千个 WordPress 网站因 tagDiv 插件漏洞遭到黑客攻击

数千个WordPress网站因tagDiv插件漏洞遭到黑客攻击千个运行WordPress内容管理系统的网站已被一个多产的黑客攻击,黑客利用了一个广泛使用的插件中最近修补的漏洞。该易受攻击的插件称为tagDivComposer,是使用两个WordPress主题(和)的强制要求。这些主题可通过ThemeForest和Envato市场获得,下载量超过155,000次。该漏洞编号为CVE-2023-3169,是所谓的跨站点脚本(XSS)缺陷,允许黑客将恶意代码注入网页。该漏洞由越南研究员发现,严重程度为7.1级(满分10级)。该漏洞在tagDivComposer4.1版中部分修复,并在4.2版中完全修补。Source:ViaHuaHua投稿:@ZaiHuaBot频道:@TestFlightCN
封面图片

【WordPress的加密货币小工具插件存在严重漏洞,存在泄露敏感信息的风险】

【WordPress的加密货币小工具插件存在严重漏洞,存在泄露敏感信息的风险】2024年02月08日03点11分2月8日消息,新加坡网络安全局(CSA)强调,Web开发平台WordPress的加密货币小工具插件“CryptocurrencyWidgets–PriceTicker&CoinsList”包含一个可用于提取敏感信息的严重漏洞。根据安全公司CVEProgram的说法,该插件是由名为“narinder-singh”的供应商提供的,2.0至2.6.5版本均被发现携带该漏洞。上述漏洞允许未经身份验证的攻击者将额外的SQL查询附加到现有查询中,从而从数据库中提取敏感信息。新加坡网络紧急响应小组(SingCERT)发布的安全公告对该插件漏洞的评分9.8/10,属于“严重”级别。(Cointelegraph)
封面图片

WordPress 插件 ACF 被曝高危漏洞

WordPress插件ACF被曝高危漏洞AdvancedCustomFields(ACF)是一款使用频率较高的WordPress插件,已在全球超过200万个站点安装,近日曝光该插件存在XSS(跨站点脚本)的高危漏洞。ACF的这个XSS漏洞允许网站在未经站长允许的情况下,未授权用户潜在地窃取敏感信息。恶意行为者可能会利用插件的漏洞注入恶意脚本,例如重定向、广告和其他HTML有效负载。如果有用户访问被篡改的网站之后,用户设备就会感染并执行恶意脚本。目前官方已经发布了6.16版本更新,修复了上述漏洞。来源,来自:雷锋频道:@kejiqu群组:@kejiquchat投稿:@kejiqubot
封面图片

Exvul:多个 Chrome 插件钱包存在严重漏洞

Exvul:多个Chrome插件钱包存在严重漏洞EXVUL技术团队发现了多个Chrome插件钱包存在严重漏洞。据了解,许多谷歌插件钱包使用indexedDB来存储加密密钥数据,然而,这种存储方式存在密文替换攻击的风险。攻击者可以替换受害者的钱包密钥,从而解密受害者的钱包,进而盗取用户的密钥或助记词。目前已经确认存在此漏洞的钱包包括CoinbaseWallet、Crypto.comDIFIWallet、SuiWallet、MyEtherWallet等。
封面图片

WordPress 的加密货币小工具插件存在严重漏洞,存在泄露敏感信息的风险

WordPress的加密货币小工具插件存在严重漏洞,存在泄露敏感信息的风险2月8日消息,新加坡网络安全局(CSA)强调,Web开发平台WordPress的加密货币小工具插件“CryptocurrencyWidgets–PriceTicker&CoinsList”包含一个可用于提取敏感信息的严重漏洞。根据安全公司CVEProgram的说法,该插件是由名为“narinder-singh”的供应商提供的,2.0至2.6.5版本均被发现携带该漏洞。上述漏洞允许未经身份验证的攻击者将额外的SQL查询附加到现有查询中,从而从数据库中提取敏感信息。新加坡网络紧急响应小组(SingCERT)发布的安全公告对该插件漏洞的评分9.8/10,属于“严重”级别。(Cointelegraph)
封面图片

WordPress 第三方插件“Ultimate Member”存在未修复的零日提权漏洞

WordPress第三方插件“UltimateMember”存在未修复的零日提权漏洞WordPress的UltimateMember插件存在未修复的漏洞,可导致特权提升,潜在地授予攻击者对受影响站点的完全访问权限。该插件的2.6.6版本受到影响,并且目前正在被积极利用。建议用户在完整的修补程序发布之前卸载该插件。妥协指标包括新的管理员用户帐户、特定IP地址和exelica.com域名。Wordfence提供网站清理服务以及使用其插件进行清理的说明,该漏洞对于这个插件的20万个安装构成了严重风险。所有的WordPress网站管理员应立即采取措施,以减轻威胁。消息来源:投稿:@ZaiHuaBot频道:@TestFlightCN

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人