在WordPress营销插件OptinMonster中发现了一个关键漏洞,该插件用于创建订阅表单。该插件非常受欢迎 它已经被安

在WordPress营销插件OptinMonster中发现了一个关键漏洞,该插件用于创建订阅表单。该插件非常受欢迎 它已经被安装在100多万个网站上。 这都是由于API端点实现得不好。特别有问题的是 /wp-json/omapp/v1/support:很多数据可以通过它被提取出来,包括API密钥。然后,入侵者就可以注入任意的JavaScript代码,改变插件设置,设置恶意的重定向,还可以做许多其他讨厌的事。而且不需要认证 这很容易被绕过。 技术细节见下面WordFencе报告。 发现该漏洞的研究人员建议该插件完全重新设计API。幸运的是,开发商也有同样的看法,所以他们会在未来几周内解决这个问题。现在,最好是将该插件更新到安全版本,并生成新的API密钥,以防万一。 #ThreatIntelligence #Security

相关推荐

封面图片

WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响

WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响 Ultimate Member 是 WordPess 博客平台中一款相当受欢迎的“用户登录系统”插件。安全公司 Wordfence 目前曝出该插件存在零日漏洞,黑客可将自己的账号提权为管理员,进而控制接管网站。 据悉,该插件存在编号为 CVE-2023-3460 的重大漏洞,风险评分为 9.8,黑客可利用该漏洞,绕过此插件内置的各项安全措施,修改账号的 wp_capabilities 配置数据,以将黑客的账号设置为管理员角色,进而控制受害网站。 插件开发者在 6 月 26 日发布 Ultimate Member 2.6.3 版本进行了该漏洞进行了部分修复,此后在 7 月 1 日发布了 2.6.7 版本,完全修复了该漏洞。 来源:
封面图片

WordPress 插件 ACF 被曝高危漏洞

WordPress 插件 ACF 被曝高危漏洞 Advanced Custom Fields(ACF)是一款使用频率较高的 WordPress 插件,已在全球超过 200 万个站点安装,近日曝光该插件存在 XSS(跨站点脚本)的高危漏洞。 ACF 的这个 XSS 漏洞允许网站在未经站长允许的情况下,未授权用户潜在地窃取敏感信息。 恶意行为者可能会利用插件的漏洞注入恶意脚本,例如重定向、广告和其他 HTML 有效负载。如果有用户访问被篡改的网站之后,用户设备就会感染并执行恶意脚本。目前官方已经发布了 6.16 版本更新,修复了上述漏洞。 来源 , 来自:雷锋 频道:@kejiqu 群组:@kejiquchat 投稿:@kejiqubot
封面图片

- 来自 BitSight 的IS专家在流行的 MiCODUS MV720 GPS 追踪器中发现了一系列关键漏洞,该追踪器配备在

- 来自 BitSight 的IS专家在流行的 MiCODUS MV720 GPS 追踪器中发现了一系列关键漏洞,该追踪器配备在全球150多万辆汽车上。 - 成功利用所发现的漏洞,攻击者可以控制追踪器,在人们不知情的情况下追踪他们的位置、控制车辆燃料供应、甚至禁用警报器。 - 此外,脆弱的GPS追踪器甚至可以对整个国家的国家安全构成威胁,因为美国和欧洲的一些军事和政府组织都在使用MiCODUS。 #China #ThreatIntelligence
封面图片

WordPress用户注意了,如果你们用的是miniOrange的恶意软件扫描器和网络应用防火墙插件,现在有个紧急情况。发现了一

WordPress用户注意了,如果你们用的是miniOrange的恶意软件扫描器和网络应用防火墙插件,现在有个紧急情况。发现了一个严重的安全漏洞,所以建议大家赶紧从自己的网站上删掉这些插件。 这个漏洞被追踪编号为CVE-2024-2172,在CVSS评分系统中的评分高达9.8分,满分是10分。它影响到以下两个插件的这些版本 - •(versions <= 4.7.2) •(versions <= 2.1.1) 值得注意的是,自2024年3月7日起,这些插件已被维护人员永久关闭。Wordfence上周报告说:“这个漏洞使得未经认证的攻击者可以通过更新用户密码来为自己授予管理员权限。” 这个问题是由于函数mo_wpns_init()中缺少一个权限检查造成的,这使得未经认证的攻击者能够随意更新任何用户的密码,并将他们的权限提升到管理员级别,这可能导致网站被完全攻破。 Wordfence表示,一旦攻击者获得了WordPress网站的管理员权限,他们就可以像正常的管理员一样操控目标网站上的任何内容。 这包括上传插件和主题文件的能力,这些文件可能是包含后门的恶意zip文件,以及修改文章和页面的能力,这可以被利用来将网站用户重定向到其他恶意网站或注入垃圾内容。 标签: #WordPress #网络安全 频道: @GodlyNews1 投稿: @GodlyNewsBot
封面图片

CloudSEK的攻击面监控平台,发现了3207个应用程序,泄露了Twitter的API密钥,可以用来访问甚至直接接管Twitt

CloudSEK的攻击面监控平台,发现了3207个应用程序,泄露了Twitter的API密钥,可以用来访问甚至直接接管Twitter账户,以执行关键/敏感的行动,如: 阅读DM信息; 转发; 点赞; 删除; 删除关注者; 关注任何账户; 获取账户设置; 更改显示图片; #ThreatIntelligence
封面图片

研究人员发现了一个硬件漏洞,可以越狱特斯拉,免费解锁FSD和后排座椅加热。

研究人员发现了一个硬件漏洞,可以越狱特斯拉,免费解锁FSD和后排座椅加热。 “值得关注的是,这类漏洞是无法彻底修复的,至少就目前来说特斯拉没有任何缓解方案可以应对该漏洞。另一个后果是获得 root 权限后还可以从车辆中提取唯一的 RSA 密钥,该密钥可以用于特斯拉服务网络中对汽车进行身份验证和授权。”

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人