久久久一本精品99久久精品36,狠狠躁夜夜躁人人躁婷婷视频,精品国产制服丝袜高跟 ,久久精品人人做人人爱爱,精品视频一区二区三区中文字幕

首頁 > 宏觀 >

WordPress插件漏洞使“200萬個(gè)網(wǎng)站”面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)_天天通訊

2023-05-09 15:16:48 來源:站長(zhǎng)之家


(資料圖片)

站長(zhǎng)之家(ChinaZ.com)5月9日 消息:據(jù)報(bào)道,由于 WordPress 的“高級(jí)自定義字段”插件中的一個(gè)漏洞導(dǎo)致超過200萬用戶面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

據(jù)theregister報(bào)道,Patchstack 研究員 Rafie Muhammad 警告稱, Advanced Custom Fields 和 Advanced Custom Fields Pro 版本的活躍安裝量超過200萬,這些插件用于讓網(wǎng)站運(yùn)營(yíng)商更好地控制他們的內(nèi)容和數(shù)據(jù),例如編輯屏幕和自定義字段數(shù)據(jù)。

Patchstack 研究員 Rafie Muhammad于2月5日發(fā)現(xiàn)了該漏洞,并將其報(bào)告給 Advanced Custom Fields 的供應(yīng)商 Delicious Brains,該公司去年從開發(fā)商 Elliot Condon 手中接管了該軟件。

Delicious Brains 發(fā)布插件補(bǔ)丁版本一個(gè)月后,Patchstack 于5月5日發(fā)布了該漏洞的詳細(xì)信息。建議用戶至少將插件更新到6.1.6版本。

該漏洞被追蹤為CVE-2023-30777CVSS ,嚴(yán)重性評(píng)分為6.1(滿分10),使網(wǎng)站容易受到反射 XSS 攻擊,這些攻擊涉及不法分子將惡意代碼注入網(wǎng)頁。然后,代碼會(huì)“反射”回來并在訪問者的瀏覽器中執(zhí)行。

也就是漏洞允許某人在另一個(gè)人的頁面視圖中運(yùn)行 JavaScript,從而允許攻擊者執(zhí)行諸如從頁面竊取信息、以用戶身份執(zhí)行操作等操作。如果訪問者是登錄的管理用戶,那將是一個(gè)大問題,因?yàn)樗麄兊膸艨赡軙?huì)被劫持,導(dǎo)致網(wǎng)站被不法分子操控。

Patchstack在其報(bào)告中寫道:“這個(gè)漏洞允許任何未經(jīng)認(rèn)證的用戶[竊取]敏感信息,在這種情況下,通過欺騙特權(quán)用戶訪問精心制作的URL路徑,在WordPress網(wǎng)站上提升特權(quán)?!痹摍C(jī)構(gòu)補(bǔ)充道,“該漏洞可能會(huì)在高級(jí)自定義字段插件的默認(rèn)安裝或配置中觸發(fā)。XSS也只能由有權(quán)訪問高級(jí)自定義字段插件的登錄用戶觸發(fā)?!?/p>

(舉報(bào))

關(guān)鍵詞

最近更新