-
WordPress AMP 插件漏洞影响多达 100,000 多个网站
Accelerated Mobile Pages WordPress 插件安装量超过 100,000 次,修复了一个中等严重程度的漏洞,该漏洞可能允许攻击者注入恶意脚本以供网站访问者执行。 Google Amp 通过简码进行跨站脚本编写 跨站点脚本(XSS)是最常见的漏洞之一。在 WordPress 插件的上下文中,当插件输入数据的方式无法通过验证或清理用户输入的过程充分保护时,就会发生 XSS …- 386
- 0
-
All in One SEO 高危漏洞,4.0.0 至 4.1.5.2 版本请立即更新
高度流行的 All in One SEO WordPress 插件中的两个严重和高严重性安全漏洞使超过 300 万个网站暴露在接管攻击中。 Automattic 安全研究员 Marc Montpas 发现和报告的安全漏洞是一个严重的身份验证权限提升错误 (CVE-2021-25036) 和一个高严重性的身份验证 SQL 注入 (CVE-2021-25037)。 超过 800,000 个易受攻击的 …- 1.3k
- 0
-
WooCommerce 推送强制更新修补3.3到 5.5版本的严重漏洞
WooCommerce已经修补了2021年7月13日Automattic的HackerOne安全程序的安全研究员发现的未指明的严重漏洞。该漏洞影响WooCommerce插件的 3.3 到 5.5 版,以及WooCommerce Blocks功能插件的 2.5 到 5.5 版。 WooCommerce 工程负责人 Beau Lebens 说:“在得知这个问题后,我们的团队立即进行了彻底调查,审核了所…- 478
- 0
-
Contact Form 7版本5.3.2以下存在高危漏洞,请尽快更新
Contact Form 7 是一个安装量超过500万的联系表单插件,很多国外主题几乎都采用这个插件来实现联系表单。Contact Form 7 的5.3.2版修复了一个关键文件上传漏洞,请尽快更新到最新版。 开发者Miyoshi说:“在Contact Form 7 5.3.1和更早的版本中发现了一个不受限制的文件上传漏洞。” “利用此漏洞,表单提交者可以绕过Contact Form 7的文件名清…- 1k
- 0
-
Easy WP SMTP 1.4.3修复敏感数据泄露漏洞,请尽快更新
Easy WP SMTP修复了一个漏洞,该漏洞使攻击者可以从插件的调试日志文件中捕获密码重置链接,并获得对站点的未授权访问。超过500,000个WordPress站点使用该插件来配置和发送所有通过SMTP服务器发送的电子邮件。 WPScan将漏洞分类为“敏感数据泄露”: 该插件具有一个可选的调试日志文件,该文件以随机名称生成,位于插件文件夹中,并且包含所有发送的电子邮件。但是,此文件夹没有任何索引…- 387
- 0
-
Ultimate Member插件低于2.1.12版本存在安全漏洞,请尽快更新
Ultimate Member是一个WordPress用户中心插件,具有100,000多个活动安装,旨在简化个人资料和成员资格管理的任务。允许轻松注册以及使用针对各种用户角色的自定义特权构建在线社区。 更多介绍请看:WordPress 使用 Ultimate Member 实现前台用户中心功能 强烈建议使用Ultimate Member插件的WordPress网站管理员将其更新至最新版本,以阻止试…- 316
- 0
-
WordPress 5.5.2 修复10个安全问题,请尽快更新
WordPress 5.5.2 已经发布,此版本除了修复10个安全漏洞之外,还修复了14个错误,由于这是一个安全版本,因此建议您立即更新站点。自WordPress 3.7以来的所有版本也已更新。 WordPress 5.5.2是一个短周期的安全和维护版本。下一个主要版本将是5.6版。 您可以通过从WordPress.org下载来下载WordPress 5.5.2,或者访问仪表板→更新,然后单击立即…- 627
- 0
-
WPBakery 可视化编辑器低于6.4.1版本存在安全漏洞
WPBakery页面构建器是WordPress最受欢迎的页面构建器之一。这是一个非常易于使用的工具,它允许站点所有者使用拖放功能来创建自定义页面。 查看更多介绍 WPBakery低于6.4.1版本存在安全漏洞 不幸的是,该插件的低于6.4.1版本设计存在缺陷,可能使具有贡献者和作者级别角色的用户能够将恶意JavaScript注入页面和文章。该缺陷还使这些用户可以编辑其他用户的文章。该插件在save…- 465
- 0
-
All In One SEO Pack 3.6.1及以下版本存在XSS漏洞,请及时更新
2020年7月10日,Wordfence的威胁情报团队在All In One SEO Pack插件中发现了这一个漏洞。此漏洞使具有贡献者级别访问权限或更高权限的经过身份验证的用户能够注入恶意脚本,如果受害者访问wp-admin面板的“所有文章”页面,该恶意脚本将被执行。 All In One SEO Pack 是一个WordPress SEO插件,安装量超过200万。它提供了几个SEO增强功能,可…- 340
- 0
-
Site Kit by Google 1.7.1及以下可授权攻击者访问Search Console
4月21日,Wordfence的威胁情报小组在Site Kit by Google插件中发现了一个漏洞,这是一个安装在300,000多个网站上的WordPress插件。此漏洞使任何经过身份验证的用户(无论能力如何)都可以成为运行Google站点套件的任何网站的Google Search Console所有者。 Google Search Console 是谷歌官方的站长管理平台,和百度站长资源平台…- 358
- 0
-
Page Builder by SiteOrigin 2.10.15及以下版本存在严重漏洞,请及时更新
Page Builder by SiteOrigin 是一个安装量超过100W的WordPress页面生成器插件,可帮助用户使用基于小工具的页面生成器轻松构建响应式页面内容。 近期,安全人员在Page Builder by SiteOrigin 2.10.15及以下版本中,发现了两个严重漏洞:跨站请求伪造(CSRF)和 反射的跨站脚本(XSS)攻击 ,些漏洞可使黑客创建新的管理员帐户,安装后门程序…- 277
- 0
-
Elementor Pro 和 Ultimate Addons for Elementor 存在严重安全漏洞,请尽快更新版本
黑客正在利用Elementor Pro和Ultimate Addons for Elementor插件中的两个安全漏洞,远程执行任意代码并完全破坏未修复的网站。 Elementor Pro 是一个可视化页面生成器付费插件,估计有超过100万个活跃安装量,该插件可帮助用户借助内置主题生成器,可视表单小工具设计器和自定义CSS支持轻松地从头开始创建WordPress网站。你可以在这篇文章查看更多介绍。…- 1.1k
- 0
-
LearnPress、LearnDash、LifterLMS旧版本存在多个安全漏洞
倡萌在《4个好用的WordPress在线销售课程/学习管理系统LMS插件》中介绍过LearnPress、LearnDash、LifterLMS,它们都是用来搭建在线课程的优秀插件。 近期,Check Point的安全研究人员分析了这三个WordPress LMS插件后,发现了四个漏洞,可用于窃取个人信息(名称、电子邮件、用户名、密码),修改付款方式,更改等级,伪造证书,提前进行测试或成为老师。他们…- 422
- 0
-
Ninja Forms 低于3.4.24.2可注入恶意代码并接管网站
Ninja Forms是一个WordPress表单生成器插件,允许WordPress用户基于拖放编辑器,在短短几分钟内创建复杂的表单。 目前该插件有超过100万的安装量,Ninja Forms 3.4.24.2 版本以下存在一个严重性较高的安全漏洞—— 跨站点请求伪造(CSRF),攻击者可以使用该插件的未修补版本来注入恶意代码并接管网站。 攻击者可以通过诱使WordPress管理员单击特制的链接来…- 192
- 0
-
Real-Time Find and Replace 插件存在严重的安全漏洞,请及时更新
Real-Time Find and Replace 是一个可以实时查找和替换网站数据的插件,不过倡萌还是推荐使用 Better Search Replace 来一次性查找和替换,不必一直启用插件。 最近Real-Time Find and Replace低于3.9的版本爆了一个非常严重的跨站点请求伪造(CSRF)漏洞,攻击者可以利用插件的功能,用恶意代码替换目标站点上的任何内容,恶意重定向用户到…- 238
- 0
-
Rank Math插件存在严重漏洞,让普通用户秒变管理员
WordPress SEO插件Rank Math中存在一个严重的特权升级漏洞,如果未修补,攻击者对安装了这个插件的网站的任何用户授予管理员特权。 Rank Math是一个WordPress插件,其开发人员称其为“WordPress SEO的瑞士军刀”,旨在帮助网站所有者通过搜索引擎优化(SEO)吸引更多流量到其网站。 该插件随附一个安装向导,可通过逐步安装过程对其进行配置,并支持Google架构标…- 947
- 0
-
2020年WordPress安全威胁及其预防方法
WordPress在网络上的统治地位是有代价的。作为最受欢迎的CMS,它也成为黑客最赚钱的目标。在2019年,Sucuri清理的94%被黑客入侵的网站都在WordPress上运行。其他CMS平台甚至都没有达到两位数。 这个高数字并不意味着WordPress容易受到攻击。实际上,WordPress安全团队在修补漏洞方面做得很好。但是可以安装以自定义WordPress的成千上万的插件和主题为潜在的黑客…- 1.1k
- 0
-
WordPress插件漏洞汇总(2020年3月下半月)
最近WordPress安全形势不容忽视,尤其是WP-VCD恶意代码在WordPress盗版主题和插件中传播迅速,感染非常严重! WordPress插件漏洞 3月下半月,不少插件爆出了安全漏洞,一起来看下。 1、WordPress File Upload 版本低于 4.13.0 的 WordPress File Upload 插件具有远程执行代码漏洞。 请及时更新到 4.13.0 及以上…- 1.6k
- 0
-
WordPress插件漏洞汇总(2020年3月上半月)
2020年还没有公开的任何WordPress内核漏洞,但是今年的WordPress插件漏洞一直非常严重,今天我们来整理一下3月份上半月所发现的最新WordPress插件漏洞信息,希望大家可以仔细看下,自己是否在使用包含漏洞的插件版本。 WordPress插件漏洞 到目前为止,本月已经发现了几个新的WordPress插件漏洞。确保按照以下建议的操作来更新插件或完全卸载它。 1. Pricing Ta…- 2.1k
- 0
-
Apache Tomcat 存在Ajp协议文件读取/包含漏洞(称为Ghostcat),请及时修复
Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。 Ghostcat(幽灵猫) 是由我国长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat …- 4.2k
- 0
-
WordPress主题插件相关漏洞汇总(2020年2月下半月)
2月下半月披露了新的WordPress插件和主题漏洞,在这篇文章中,我们介绍了最近的WordPress插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。 WordPress漏洞汇总分为3个不同类别: WordPress核心WordPress插件WordPress主题 WordPress核心漏洞 2020年没有任何已公开的WordPress核心漏洞。 WordPress插…- 868
- 0
-
WordPress主题插件相关漏洞汇总(2020年2月上半月)
2020年2月上半月披露了新的WordPress插件和主题漏洞。在这篇文章中,我们介绍了最近的WordPress插件、主题和核心漏洞,以及如果您在网站上运行易受攻击的插件或主题之一该怎么办。 WordPress漏洞汇总分为3个不同类别: WordPress核心WordPress插件WordPress主题 WordPress核心漏洞 2020年没有任何已公开的WordPress漏洞。 WordPre…- 703
- 0
-
Elementor和Beaver的Ultimate Addons存在安全漏洞
Elementor 和 Beaver 是在国外主题中非常流行的WordPress可视化编辑器插件,安装量分别在300万和40万以上。而今天我们要说的漏洞,并不涉及 Elementor 和 Beaver 本身,而是它们的扩展插件: Ultimate Addons for Elementor Ultimate Addons for Beaver Builder 这两个扩展插件都是为可视化编辑器添加更多…- 633
- 0
-
WordPress主题插件相关漏洞汇总(2019年11月)
2019年11月马上就过去了,今天我们来整理一下这个月主要发现的WordPress主题和插件漏洞信息。希望大家都看下自己是否使用了存在安全问题的版本。 WordPress核心安全性更新 很高兴告诉大家,在这个月内 WordPress 核心没有发现新的安全漏洞。同时有一个好消息,那就是 WordPress 5.3 正式版在月中的时候已经发布了! WordPress插件漏洞 11月份发现了一些插件漏洞…- 1.1k
- 0
扫码打开当前页
微信扫一扫,联系我们
关注微信公众号 WPDAXUE
-
¥优惠劵使用时效:无法使用使用时效:
之前
使用时效:永久有效优惠劵ID:×
