WordPress 插件 ACF 被曝高危漏洞

WordPress插件ACF被曝高危漏洞AdvancedCustomFields(ACF)是一款使用频率较高的WordPress插件,已在全球超过200万个站点安装,近日曝光该插件存在XSS(跨站点脚本)的高危漏洞。ACF的这个XSS漏洞允许网站在未经站长允许的情况下,未授权用户潜在地窃取敏感信息。恶意行为者可能会利用插件的漏洞注入恶意脚本,例如重定向、广告和其他HTML有效负载。如果有用户访问被篡改的网站之后,用户设备就会感染并执行恶意脚本。目前官方已经发布了6.16版本更新,修复了上述漏洞。来源,来自:雷锋频道:@kejiqu群组:@kejiquchat投稿:@kejiqubot

相关推荐

封面图片

数千个 WordPress 网站因 tagDiv 插件漏洞遭到黑客攻击

数千个WordPress网站因tagDiv插件漏洞遭到黑客攻击千个运行WordPress内容管理系统的网站已被一个多产的黑客攻击,黑客利用了一个广泛使用的插件中最近修补的漏洞。该易受攻击的插件称为tagDivComposer,是使用两个WordPress主题(和)的强制要求。这些主题可通过ThemeForest和Envato市场获得,下载量超过155,000次。该漏洞编号为CVE-2023-3169,是所谓的跨站点脚本(XSS)缺陷,允许黑客将恶意代码注入网页。该漏洞由越南研究员发现,严重程度为7.1级(满分10级)。该漏洞在tagDivComposer4.1版中部分修复,并在4.2版中完全修补。Source:ViaHuaHua投稿:@ZaiHuaBot频道:@TestFlightCN
封面图片

慢雾:警惕恶意攻击者利用 WordPress 插件漏洞发起的水坑攻击

慢雾:警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击慢雾安全提醒,近期有攻击者利用WordPress插件漏洞攻击正常的站点,然后在站点中注入恶意的js代码,发起水坑攻击,在用户访问站点时弹出恶意弹窗,骗取用户执行恶意的代码或进行Web3钱包签名,从而盗取用户的资产。建议有使用WordPress插件的站点注意排查是否存在漏洞,及时更新插件,避免被攻击;用户在访问任何站点的时候,要仔细识别下载的程序以及Web3签名的内容,避免下载到恶意程序或因授权了恶意的签名导致资产被盗。
封面图片

【慢雾:警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击】

【慢雾:警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击】2024年04月28日02点46分老不正经报道,慢雾安全提醒,近期有攻击者利用WordPress插件漏洞攻击正常的站点,然后在站点中注入恶意的js代码,发起水坑攻击,在用户访问站点时弹出恶意弹窗,骗取用户执行恶意的代码或进行Web3钱包签名,从而盗取用户的资产。建议有使用WordPress插件的站点注意排查是否存在漏洞,及时更新插件,避免被攻击;用户在访问任何站点的时候,要仔细识别下载的程序以及Web3签名的内容,避免下载到恶意程序或因授权了恶意的签名导致资产被盗。
封面图片

WordPress 第三方插件“Ultimate Member”存在未修复的零日提权漏洞

WordPress第三方插件“UltimateMember”存在未修复的零日提权漏洞WordPress的UltimateMember插件存在未修复的漏洞,可导致特权提升,潜在地授予攻击者对受影响站点的完全访问权限。该插件的2.6.6版本受到影响,并且目前正在被积极利用。建议用户在完整的修补程序发布之前卸载该插件。妥协指标包括新的管理员用户帐户、特定IP地址和exelica.com域名。Wordfence提供网站清理服务以及使用其插件进行清理的说明,该漏洞对于这个插件的20万个安装构成了严重风险。所有的WordPress网站管理员应立即采取措施,以减轻威胁。消息来源:投稿:@ZaiHuaBot频道:@TestFlightCN
封面图片

WordPress 的加密货币小工具插件存在严重漏洞,存在泄露敏感信息的风险

WordPress的加密货币小工具插件存在严重漏洞,存在泄露敏感信息的风险2月8日消息,新加坡网络安全局(CSA)强调,Web开发平台WordPress的加密货币小工具插件“CryptocurrencyWidgets–PriceTicker&CoinsList”包含一个可用于提取敏感信息的严重漏洞。根据安全公司CVEProgram的说法,该插件是由名为“narinder-singh”的供应商提供的,2.0至2.6.5版本均被发现携带该漏洞。上述漏洞允许未经身份验证的攻击者将额外的SQL查询附加到现有查询中,从而从数据库中提取敏感信息。新加坡网络紧急响应小组(SingCERT)发布的安全公告对该插件漏洞的评分9.8/10,属于“严重”级别。(Cointelegraph)
封面图片

【WordPress的加密货币小工具插件存在严重漏洞,存在泄露敏感信息的风险】

【WordPress的加密货币小工具插件存在严重漏洞,存在泄露敏感信息的风险】2024年02月08日03点11分2月8日消息,新加坡网络安全局(CSA)强调,Web开发平台WordPress的加密货币小工具插件“CryptocurrencyWidgets–PriceTicker&CoinsList”包含一个可用于提取敏感信息的严重漏洞。根据安全公司CVEProgram的说法,该插件是由名为“narinder-singh”的供应商提供的,2.0至2.6.5版本均被发现携带该漏洞。上述漏洞允许未经身份验证的攻击者将额外的SQL查询附加到现有查询中,从而从数据库中提取敏感信息。新加坡网络紧急响应小组(SingCERT)发布的安全公告对该插件漏洞的评分9.8/10,属于“严重”级别。(Cointelegraph)

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人