WordPress 插件 ACF 被曝高危漏洞

WordPress插件ACF被曝高危漏洞AdvancedCustomFields（ACF）是一款使用频率较高的WordPress插件，已在全球超过200万个站点安装，近日曝光该插件存在XSS（跨站点脚本）的高危漏洞。ACF的这个XSS漏洞允许网站在未经站长允许的情况下，未授权用户潜在地窃取敏感信息。恶意行为者可能会利用插件的漏洞注入恶意脚本，例如重定向、广告和其他HTML有效负载。如果有用户访问被篡改的网站之后，用户设备就会感染并执行恶意脚本。目前官方已经发布了6.16版本更新，修复了上述漏洞。来源，来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

＃安全 ［Android曝出两个高危漏洞］

＃安全［Android曝出两个高危漏洞］Android系统本周曝出了两个新的高危漏洞，影响大量设备，很多设备可能永远得不到修复的机会。第一个漏洞是GoogleProjectZero安全团队成员MarkBrand披露的，编号CVE2016-3861，该漏洞允许攻击者执行恶意程序或本地提权。Brand称该漏洞极端危险，因为它可以通过多种方式利用。他同时披露了漏洞利用代码。第二个漏洞编号CVE-2016-3862，类似Stagefright，能通过发送恶意图像文件利用，其中恶意代码能被隐藏在图像嵌入的Exif数据中。受害者无需任何操作就能遭到入侵。https://bugs.chromium.org/p/project-zero/issues/attachment?aid=249763

VMware Workstation等多款产品曝高危漏洞 应立即升级

VMwareWorkstation等多款产品曝高危漏洞应立即升级受影响的产品也包括各位用户使用的VMwareWorkstationPro虚拟机软件，因此请要么卸载VMware要么就立即更新，避免存在安全缺陷。受影响的产品包括：VMwareESXi8.0，需升级到VMwareESXi80U2sb-23305545版VMwareESXi8.0[2]，需升级到VMwareESXi80U1d-23299997版VMwareESXi7.0，需升级到VMwareESXi70U3p-23307199版VMwareWorkstationPro/Player17.x版，需升级到17.5.1版VMwareFusion13.x版，需升级到VMwareFusion13.5.1版下载地址：使用VMwareWorkstationPro虚拟机的用户请点击这里直接下载新版本覆盖升级：https://download3.vmware.com/software/WKST-1751-WIN/VMware-workstation-full-17.5.1-23298084.exe下面是漏洞概述：CVE-2024-22252：XHCIUSB控制器中的UaF漏洞，具有虚拟机本地管理权限的用户可以在主机上运行的VMX进程执行代码，实际上也就是从沙盒里逃逸了，可以直接侵入宿主机。CVE-2024-22253：UHCIUSB控制器中的UaF漏洞，情况与CVE-2024-22252类似。CVE-2024-22254：越界后写入漏洞，此漏洞使得在VMX进程中拥有特权的人可以触发越界写入进而导致沙箱逃逸。CVE-2024-22255：UHCIUSB控制器中的信息泄露漏洞，具有虚拟机管理访问权限的人可以利用此漏洞从VMX进程中泄露内存。临时解决方案：从漏洞描述中可以看到三个漏洞与USB控制器有关，因此VMware提供的临时解决方案是直接删除USB控制器，如果你现在无法升级到最新版本的话。删除USB控制器会导致虚拟/模拟的USB设备包括U盘或者加密狗等无法使用，也无法使用USB直通功能，但鼠标和键盘不受影响，键鼠并不是通过USB协议连接的，删除USB控制器后可以继续用。需要提醒的是有些虚拟机例如MacOSX本身不支持PS/2键鼠，这些系统没有鼠标和键盘，也没有USB控制器。...PC版：https://www.cnbeta.com.tw/articles/soft/1422744.htm手机版：https://m.cnbeta.com.tw/view/1422744.htm