WordPress 第三方插件“Ultimate Member”存在未修复的零日提权漏洞

WordPress第三方插件“UltimateMember”存在未修复的零日提权漏洞WordPress的UltimateMember插件存在未修复的漏洞，可导致特权提升，潜在地授予攻击者对受影响站点的完全访问权限。该插件的2.6.6版本受到影响，并且目前正在被积极利用。建议用户在完整的修补程序发布之前卸载该插件。妥协指标包括新的管理员用户帐户、特定IP地址和exelica.com域名。Wordfence提供网站清理服务以及使用其插件进行清理的说明，该漏洞对于这个插件的20万个安装构成了严重风险。所有的WordPress网站管理员应立即采取措施，以减轻威胁。消息来源：投稿：@ZaiHuaBot频道：@TestFlightCN

【数字身份认证公司Spruce推出身份验证插件，支持使用以太坊账户登录Discourse论坛】

【数字身份认证公司Spruce推出身份验证插件，支持使用以太坊账户登录Discourse论坛】3月16日消息，数字身份认证公司Spruce宣布推出其首个使用以太坊账户登录Discourse论坛的身份验证插件。该插件开源，支持运行官方版本的自托管Discourse论坛让其用户使用以太坊帐户进行身份验证，包括用以太坊帐户注册Discourse论坛或与现有帐户关联。Spruce将继续探索如何让该插件用于由第一方和第三方托管和管理的论坛。Spruce是一家开源软件公司，构建了加密工具，帮助用户跨平台管理身份和数据。Spruce于去年9月在以太坊基金会和以太坊域名系统（ENS）联合发起的招标中胜出，将开发通过以太坊账号登录第三方Web应用的技术。

OpenSSH 服务端中发现远程未经身份验证代码执行漏洞

OpenSSH服务端中发现远程未经身份验证代码执行漏洞7月1日消息，Qualys的威胁研究部门在基于glibc的Linux系统中发现了OpenSSH服务端(sshd)中存在一个远程未经身份验证的代码执行(RCE)漏洞。该漏洞影响8.5p1到9.7p1之间的版本。分配给此漏洞的编号为，评分8.1，严重性为高。通过使用Censys和Shodan进行搜索发现，超过1400万个可能存在漏洞的OpenSSH服务器实例暴露在互联网上。该漏洞是OpenSSH服务端(sshd)中的一个信号处理程序竞争条件，允许在基于glibc的Linux系统上以root身份进行未经身份验证的远程代码执行(RCE)；这会带来重大的安全风险。此竞争条件会影响默认配置下的sshd。——

WordPress 插件 ACF 被曝高危漏洞

WordPress插件ACF被曝高危漏洞AdvancedCustomFields（ACF）是一款使用频率较高的WordPress插件，已在全球超过200万个站点安装，近日曝光该插件存在XSS（跨站点脚本）的高危漏洞。ACF的这个XSS漏洞允许网站在未经站长允许的情况下，未授权用户潜在地窃取敏感信息。恶意行为者可能会利用插件的漏洞注入恶意脚本，例如重定向、广告和其他HTML有效负载。如果有用户访问被篡改的网站之后，用户设备就会感染并执行恶意脚本。目前官方已经发布了6.16版本更新，修复了上述漏洞。来源，来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot