安全播报
8月29
WordPress 多语言插件 WPML 存在远程代码执行漏洞,请更新到最新版
19:15 作者:网站编辑流行的 WordPress 多语言插件 WPML 已安装在超过 1,000,000 个网站上,现已修复远程代码执行 (RCE)漏洞 (CVE-2024-6386),研究人员已将该漏洞归类为“严重”,CVSS 评分为 9.9。强烈建议用户将其网站更新至修复后的版本 WPML 4.6.13。 安全研究员Mat Rollings(stealthcopter)通过 Wordfence Bug Bounty…
8月23
LiteSpeed Cache 插件修复严重权限提升漏洞,请立即更新!
17:02 作者:网站编辑LiteSpeed Cache 插件被广泛用于提高 WordPress 网站的速度和性能,最近它修补了一个严重的未经身份验证的权限提升漏洞 (CVE-2024-28000)。该插件拥有超过 500 万个活跃安装,是许多 WordPress 用户的关键工具。 Patchstack Alliance 社区成员John Blackbourn报告了该漏洞,并获得了 14,400 美元的奖励,这是 Word…
7月05
3月30
11 个 Elementor 插件中的 15 个漏洞影响超过 300 万个 WordPress 网站
11:57 作者:网站编辑研究人员已针对 11 个独立的 Elementor 附加插件发布了建议,其中包含 15 个漏洞,这些漏洞可能使黑客能够上传恶意文件。其中一个被评为高威胁漏洞,因为它可以让黑客绕过访问控制、执行脚本并获取敏感数据。 两种不同类型的漏洞 大多数漏洞都是存储跨站脚本 (XSS)。其中三个是本地文件包含。 XSS 漏洞是 WordPress 插件和主题中最常见的漏洞形式之一。它们通常是由输入数据保护方式(…
3月29
Elementor 插件爆出 6 个安全漏洞,请尽快更新
23:53 作者:网站编辑安全研究人员针对 Elementor Website Builder 及其专业版中发现的六个独特 XSS 漏洞发布了公告,这些漏洞可能允许攻击者注入恶意脚本。 Elementor 网站构建器 Elementor 是领先的网站构建平台,在全球拥有超过 500 万活跃安装量,官方 WordPress 存储库声称它为全球超过 1600 万个网站提供支持。拖放界面允许任何人快速创建专业网站,而专业版则通过…
2月29
WordPress 主题 Avada 修复任意文件上传漏洞,请尽快更新
22:54 作者:网站编辑ThemeFusion 的多用途 WordPress 主题Avada已修复任意文件上传漏洞。Avada 是 ThemeForest 最受欢迎的优质主题之一,销量接近 95 万。 Muhammad Zeeshan (Xib3rR4dAr) 在Wordfence的 Bug Bounty Extravaganza期间负责任地报告了此漏洞,并为他赢得了 2,751 美元。研究人员将其归类为“高…
1月26
Better Search Replace 1.4.4 插件严重漏洞,请尽快更新到最新版
11:46 作者:网站编辑WordPress 的 Better Search Replace 插件中发现并修补了一个严重严重漏洞,该插件拥有超过 100 万个活跃网站安装。成功的攻击可能导致任意文件删除、敏感数据检索和代码执行。 漏洞的严重级别 漏洞的严重性按照评分系统进行评分,评级范围从低到严重: 低0.1-3.9 中4.0-6.9 高7.0-8.9 严重9.0-10.0 Better Search Replace 插件…
1月23
文件管理器插件 File Manager 7.2.1 及以下版本存在严重漏洞
21:32 作者:网站编辑广泛使用的 WordPress 文件管理器插件 File Manager 7.2.1 中已发现并修补了一个重大安全漏洞,影响了超过 100 万个网站。该漏洞的严重程度为 8.1 级(满分 10 级),可能允许未经身份验证的攻击者访问敏感信息,包括站点备份中包含的数据。 未经身份验证的攻击漏洞 该漏洞之所以受到高度关注,是因为黑客不需要登录凭据即可发起攻击,这就是术语“未经身份验证”的含义。 在 W…
1月18
高级自定义字段 ACF 6.2.4 插件漏洞影响多达 200 万多个网站
12:00 作者:网站编辑安装量超过 200 万次的高级自定义字段 (ACF) WordPress 插件宣布发布安全更新版本 6.2.5,该更新修复了一个漏洞,该漏洞的严重程度尚不清楚,仅发布了有关该漏洞的有限详细信息。 虽然尚不清楚可能发生何种类型的攻击或攻击者可能造成的损害程度,但 ACF 确实建议该漏洞需要贡献者级别或更高级别的访问权限,这在一定程度上使发起攻击变得更加困难。 ACF 6.2.5 可能会引入重大变化 …
11月15
10月24
LiteSpeed Cache 5.7 修补 XSS 漏洞
09:56 作者:网站编辑LiteSpeed Cache 插件在超过 400 万个 WordPress 网站上使用,已在 5.7 版本中修复了 XSS 漏洞。该插件提供一体化站点加速功能、服务器级缓存和一系列优化功能。它与 WordPress 多站点以及 WooCommerce、bbPress 和 Yoast SEO 等流行插件兼容,这可能有助于其流行。 Wordfence 安全研究员 István Márton 发现了该…
10月11
HTTP/2 快速重置 DDOS 漏洞几乎影响所有站点
12:09 作者:网站编辑一种新型 DDOS 的详细信息需要相对最少的资源来发起前所未有的规模攻击,这使得它对网站构成明显的危险,服务器软件公司竞相发布补丁来防御它。 HTTP/2 快速重置漏洞 该漏洞利用了HTTP/2和 HTTP/3 网络协议,允许多个数据流传入和传出服务器和浏览器。 这意味着浏览器可以从服务器请求多个资源并将它们全部返回,而不必等待每个资源一次下载一个。 Cloudflare、Amazon Web S…
9月02
Patchstack 向 WordPress.org 插件团队报告影响 160 万多个网站的 404 个漏洞
22:15 作者:网站编辑"="" target="_blank" rel="nofollow">原文连接'">
7月14
All-In-One Security 插件修复 5.2.0 版本中的敏感数据泄露漏洞
20:10 作者:网站编辑"="" target="_blank" rel="nofollow">原文连接'">
7月04
Ultimate Member 2.6.7 修补了提权漏洞
10:40 作者:网站编辑Ultimate Member 插件的作者发布了 2.6.7 版本,其中包含针对权限提升漏洞的补丁。上周WPScan 报告称,经过多次不充分的尝试后,Ultimate Member 仍未完全修补该漏洞。有证据表明它正在野外被积极利用。 为了解决这个安全问题的复杂性,WPScan 研究员 Marc Montpas 在 WordPress trac 上开了一张票,使用不区分重音的排序规则确定了 use…
6月30
6月15
WooCommerce Stripe Gateway 插件修补了 7.4.1 中的安全漏洞
10:10 作者:网站编辑Patchstack报告了WooCommerce Stripe Gateway中的不安全直接对象引用 (IDOR) 漏洞,WooCommerce Stripe Gateway 是最受欢迎的 WooCommerce Stripe 支付插件,拥有超过 900,000 名活跃用户。它由 Patchstack 研究员 Rafie Muhammad 于 2023 年 4 月 17 日发现,并由 WooCom…
6月14
6月07
5月31
