WordPress插件漏洞使“200万个网站”面临网络攻击的风险_天天视点

(资料图)

编程客栈（）5月9日 消息:据报道，由于 WordPress 的“高级自定义字段”插件中的一个漏洞导致超过200万用户面临网络攻击的风险。

据theregister报道，Patchstack 研究员 Rafie Muhammad 警告称， Advanced Custom Fields 和 Advanced Customandroid Fields Pro 版本的活跃安装量超过200万，这些插件用于让网站运营商更好地控制他们的内容和数据，例如编辑屏幕和自定义字段数据。

Patchstack 研究员 Rafie Muhammad于2月5日发现了该漏洞，并将其报告给 Advanced Custom Fields 的供应商 Delicious Brains，该公司去年从开发商 Elliot Condon 手中接管了该软件。

Delicious Brains 发布插件补丁版本一个月后，Patchstack 于5月5日发布了该漏洞的详细信息。建议用户至少将插件更新到6.1.6版本。

该漏洞被追踪为CVE-2023-30777CVSS ，严重性评分为6.1（满分10），使网站容易受到反射 XSS 攻击，这些攻击涉及不编程法分子将恶意代码注入网页。然后，代码会“反射”回来并在访问者的浏览器中执行。php

也就是漏洞允许某人在另一个人的页面视图中运行 JavaScript，从而允许攻击者执行诸如从页面窃取信息、以用户身份执行操作等操作。如果访问者是登录编程的管理用户，那将是一个大问题，因为他们的帐户可能会被劫持，导致网站被不法分子操控。

Patchstack在其报告中写道:“这个漏洞允许任何未经认证的用户[窃取]敏感信息，在这种情况下，通过欺骗特权用户访问精心制作的URL路径，在WordPress网站上提升特权。”该机构补充道，“该漏洞可能会在高级自定义字段插件的默认安装或配置中触发。XSS也只能由有权访问高级自定义字段插件的登录用户触发。”

推荐DIY文章

全球热讯:亭林先生自少至老手不释书的文言文阅读理解专项训练来了

初中化学高炉炼铁的原理 高炉有效高度都是指什么 天天看热讯

数据库损坏该怎么办 有哪些处理方法以及简单的修复方法

红色警戒2尤里的复仇秘籍实用14招 铁幕装置可以保护己方战斗单位不受伤害 世界热讯

ups是什么东西 是不间断电源 会经常用在医院的精密仪器中等

七寸有多大图片参照物是什么 按照中国的寸计算七寸等于23.33厘米 全球新资讯