WordPress插件漏洞使“200万个网站”面临网络攻击的风险_天天视点


(资料图)

编程客栈()5月9日 消息:据报道,由于 WordPress 的“高级自定义字段”插件中的一个漏洞导致超过200万用户面临网络攻击的风险。

据theregister报道,Patchstack 研究员 Rafie Muhammad 警告称, Advanced Custom Fields 和 Advanced Customandroid Fields Pro 版本的活跃安装量超过200万,这些插件用于让网站运营商更好地控制他们的内容和数据,例如编辑屏幕和自定义字段数据。

Patchstack 研究员 Rafie Muhammad于2月5日发现了该漏洞,并将其报告给 Advanced Custom Fields 的供应商 Delicious Brains,该公司去年从开发商 Elliot Condon 手中接管了该软件。

Delicious Brains 发布插件补丁版本一个月后,Patchstack 于5月5日发布了该漏洞的详细信息。建议用户至少将插件更新到6.1.6版本。

该漏洞被追踪为CVE-2023-30777CVSS ,严重性评分为6.1(满分10),使网站容易受到反射 XSS 攻击,这些攻击涉及不编程法分子将恶意代码注入网页。然后,代码会“反射”回来并在访问者的浏览器中执行。php

也就是漏洞允许某人在另一个人的页面视图中运行 JavaScript,从而允许攻击者执行诸如从页面窃取信息、以用户身份执行操作等操作。如果访问者是登录编程的管理用户,那将是一个大问题,因为他们的帐户可能会被劫持,导致网站被不法分子操控。

Patchstack在其报告中写道:“这个漏洞允许任何未经认证的用户[窃取]敏感信息,在这种情况下,通过欺骗特权用户访问精心制作的URL路径,在WordPress网站上提升特权。”该机构补充道,“该漏洞可能会在高级自定义字段插件的默认安装或配置中触发。XSS也只能由有权访问高级自定义字段插件的登录用户触发。”

推荐DIY文章
全球热讯:亭林先生自少至老手不释书的文言文阅读理解专项训练来了
初中化学高炉炼铁的原理 高炉有效高度都是指什么 天天看热讯
数据库损坏该怎么办 有哪些处理方法以及简单的修复方法
红色警戒2尤里的复仇秘籍实用14招 铁幕装置可以保护己方战斗单位不受伤害 世界热讯
ups是什么东西 是不间断电源 会经常用在医院的精密仪器中等
七寸有多大图片参照物是什么 按照中国的寸计算七寸等于23.33厘米 全球新资讯
精彩新闻

超前放送