WordPress
8月29
-
WordPress 多语言插件 WPML 存在远程代码执行漏洞,请更新到最新版
11:15 作者:编辑流行的 WordPress 多语言插件 WPML 已安装在超过 1,000,000 个网站上,现已修复远程代码执行 (RCE)漏洞 (CVE-2024-6386),研究人员已将该漏洞归类为“严重”,CVSS 评分为 9.9。强烈建议用户将其网站更新至修复后的版本 WPML 4.6.13。 安全研究员Mat Rollings(stealthcopter)通过 Wordfence Bug Bounty…
8月23
-
LiteSpeed Cache 插件修复严重权限提升漏洞,请立即更新!
09:02 作者:编辑LiteSpeed Cache 插件被广泛用于提高 WordPress 网站的速度和性能,最近它修补了一个严重的未经身份验证的权限提升漏洞 (CVE-2024-28000)。该插件拥有超过 500 万个活跃安装,是许多 WordPress 用户的关键工具。 Patchstack Alliance 社区成员John Blackbourn报告了该漏洞,并获得了 14,400 美元的奖励,这是 Word…
7月05
-
Polyfill.js 漏洞对 WordPress 生态系统产生影响
09:17 作者:编辑2024 年 6 月 25 日,Sansec发布了有关 Polyfill 供应链攻击的安全公告文章。 介绍 Polyfill.js 是一个流行的 JavaScript 库,它为不支持它的旧版浏览器提供了现代功能。Polyfill.js 的实现主要以脚本的形式附加到 HTML 标记中。这允许代码运行动态操作过程以在使用它的网站上执行 JS 代码。此库实现主要使用托管在*.polyfill.io或特别…原文连接
3月30
-
11 个 Elementor 插件中的 15 个漏洞影响超过 300 万个 WordPress 网站
03:57 作者:编辑研究人员已针对 11 个独立的 Elementor 附加插件发布了建议,其中包含 15 个漏洞,这些漏洞可能使黑客能够上传恶意文件。其中一个被评为高威胁漏洞,因为它可以让黑客绕过访问控制、执行脚本并获取敏感数据。 两种不同类型的漏洞 大多数漏洞都是存储跨站脚本 (XSS)。其中三个是本地文件包含。 XSS 漏洞是 WordPress 插件和主题中最常见的漏洞形式之一。它们通常是由输入数据保护方式(…
3月29
-
Elementor 插件爆出 6 个安全漏洞,请尽快更新
15:53 作者:编辑安全研究人员针对 Elementor Website Builder 及其专业版中发现的六个独特 XSS 漏洞发布了公告,这些漏洞可能允许攻击者注入恶意脚本。 Elementor 网站构建器 Elementor 是领先的网站构建平台,在全球拥有超过 500 万活跃安装量,官方 WordPress 存储库声称它为全球超过 1600 万个网站提供支持。拖放界面允许任何人快速创建专业网站,而专业版则通过…
2月29
-
WordPress 主题 Avada 修复任意文件上传漏洞,请尽快更新
14:55 作者:编辑ThemeFusion 的多用途 WordPress 主题Avada已修复任意文件上传漏洞。Avada 是 ThemeForest 最受欢迎的优质主题之一,销量接近 95 万。 Muhammad Zeeshan (Xib3rR4dAr) 在Wordfence的 Bug Bounty Extravaganza期间负责任地报告了此漏洞,并为他赢得了 2,751 美元。研究人员将其归类为“高度严重”问题…
1月26
-
Better Search Replace 1.4.4 插件严重漏洞,请尽快更新到最新版
03:46 作者:编辑WordPress 的 Better Search Replace 插件中发现并修补了一个严重严重漏洞,该插件拥有超过 100 万个活跃网站安装。成功的攻击可能导致任意文件删除、敏感数据检索和代码执行。 漏洞的严重级别 漏洞的严重性按照评分系统进行评分,评级范围从低到严重: 低0.1-3.9 中4.0-6.9 高7.0-8.9 严重9.0-10.0 Better Search Replace 插件…
1月23
-
文件管理器插件 File Manager 7.2.1 及以下版本存在严重漏洞
13:32 作者:编辑广泛使用的 WordPress 文件管理器插件 File Manager 7.2.1 中已发现并修补了一个重大安全漏洞,影响了超过 100 万个网站。该漏洞的严重程度为 8.1 级(满分 10 级),可能允许未经身份验证的攻击者访问敏感信息,包括站点备份中包含的数据。 未经身份验证的攻击漏洞 该漏洞之所以受到高度关注,是因为黑客不需要登录凭据即可发起攻击,这就是术语“未经身份验证”的含义。 在 W…
1月18
-
高级自定义字段 ACF 6.2.4 插件漏洞影响多达 200 万多个网站
04:00 作者:编辑安装量超过 200 万次的高级自定义字段 (ACF) WordPress 插件宣布发布安全更新版本 6.2.5,该更新修复了一个漏洞,该漏洞的严重程度尚不清楚,仅发布了有关该漏洞的有限详细信息。 虽然尚不清楚可能发生何种类型的攻击或攻击者可能造成的损害程度,但 ACF 确实建议该漏洞需要贡献者级别或更高级别的访问权限,这在一定程度上使发起攻击变得更加困难。 ACF 6.2.5 可能会引入重大变化 …
11月15
-
WP Fastest Cache 插件漏洞导致 60 万个 WordPress 网站易受攻击
03:00 作者:编辑WordPress 插件 WP Fastest Cache 容易受到 SQL 注入漏洞的攻击,该漏洞可能允许未经身份验证的攻击者读取站点数据库的内容。 WP Fastest Cache 是一个缓存插件,用于加速页面加载、改善访问者体验并提高网站在 Google 搜索上的排名。根据 WordPress.org 统计,超过一百万个网站使用它。 WordPress.org 的下载统计数据显示,超过 60…