HackerNews 编译，转载请注明出处： 据 researchers 发现，超过1000个WordPress网站被感染，这些网站中被注入了第三方 JavaScript 代码，从而产生了四个独立的后门，使攻击者能够持续访问受害网站。 “创建四个后门使攻击者在其中一个被发现并移除时，仍然可以通过其他入口重新进入目标系统。”c/side的研究员Himanshu Anand在周三的分析中表示。 这些恶意的 JavaScript 代码通过 cdn.csyndication[.]com 提供。截至撰写本文时，有多达908个网站包含对这个域名的引用。 这四个后门是这样工作的： 1.第1个后门，上传并安装一个名为“Ultra SEO Processor”的假插件，然后用于执行攻击者发布的命令 2.第2个后门，将恶意 JavaScript 注入 wp-config.php 3.第4个后门，旨在执行远程命令并从 gsocket[.]io 获取另一个有效载荷，可能会打开一个反向 shell 为了降低这些攻击带来的风险，建议用户删除未经授权的 SSH 密钥、轮换 WordPress 管理员凭据，并监控系统日志中的可疑活动。 这一事件的披露正值网络安全公司详细描述了另一场恶意软件活动，该活动已通过恶意 JavaScript 共谋了35000多个网站，这些 JavaScript “完全劫持了用户的浏览器窗口”，将网站访客重定向到中文赌博平台。 “此次攻击似乎针对或起源于说普通话的地区，最终的登陆页面在‘Kaiyun’品牌下提供赌博内容。” 这些重定向是通过托管在五个不同域名上的 JavaScript 实现的，这些 JavaScript 作为执行重定向的主要有效载荷的加载器： – mlbetjs[.]com – ptfafajs[.]com – zuizhongjs[.]com – jbwzzzjs[.]com – jpbkte[.]com 这些研究结果还揭示了 Group-IB 关于一个名为 ScreamedJungle 的威胁行为者的最新报告，该行为者将名为 Bablosoft JS 的 JavaScript 注入受损的 Magento 网站，收集访问用户的指纹信息。据信，到目前为止，已有超过115个电子商务网站受到影响。 “注入的脚本是‘Bablosoft BrowserAutomationStudio（BAS）套件’的一部分。”这家新加坡公司表示，并补充道，“它还包含其他几个函数，用于收集有关访问受损网站的用户的系统和浏览器的信息。” 据说，攻击者利用已知的漏洞（例如影响易受攻击的 Magento 版本的 CVE-2024-34102（又名 CosmicSting）和 CVE-2024-20720）入侵这些网站。这个以经济利益为动机的威胁行为者于2024年5月底首次被发现。 “浏览器指纹识别是一种强大的技术，通常被网站用于跟踪用户活动并调整营销策略。”Group-IB表示，“然而，这些信息也被网络犯罪分子利用，以模仿合法用户行为，规避安全措施，并进行欺诈活动。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WordPress 插件中的一处关键性安全漏洞（编号为 CVE – 2025 – 0912），使全球超 10 万个网站面临未授权的远程代码执行（RCE）攻击风险。 该漏洞在 GiveWP 捐款插件中被发现，其严重程度达到 CVSS 评分体系中的最高值 ——9.8 分（关键级）。漏洞产生的根源在于插件处理捐款表单时，对用户输入的数据未进行妥善处理。 攻击者可利用此漏洞，通过反序列化不可信输入，在插件代码库中注入恶意 PHP 对象，并借助面向属性编程（POP）链实现对服务器的全面入侵。 漏洞存在于插件处理捐款表单中 card_address 参数的方式当中。在 3.19.4 及更早版本中，该插件未能对通过此字段传递的序列化数据进行有效验证或清理，从而导致 PHP 对象注入（CWE – 502）。 在处理捐款时，give_process_donation_form（）函数会反序列化用户输入，却未进行充分检查，这就让攻击者得以精心制作攻击载荷，进而实例化任意 PHP 对象。 实现远程代码执行的关键因素是插件代码库中存在可利用的 POP 链。这些链允许攻击者将诸如析构函数或唤醒函数之类的小工具方法串联起来，从而将对象注入升级为系统命令执行，正如 Wordfence 报告所指出的那样。 此漏洞能够绕过 WordPress 的安全nonce机制，且无需身份验证，任何外部攻击者都能利用。一旦成功利用，攻击者便能够： 删除任意文件（包括 wp-config.php） 提取数据库凭证信息 通过网页后门安装后门程序 鉴于 GiveWP 为非营利组织、宗教团体和政治活动等提供捐款系统支持，被入侵的网站面临金融欺诈、捐赠者数据被盗以及声誉受损等风险。攻击者可能会篡改网站、拦截捐款或部署加密货币挖矿程序。该插件与 PayPal 和 Stripe 等支付网关的集成也引发了对交易系统二次入侵的担忧。 安全分析公司 Defiant 的分析师警告称，尽管已发布 3.20.0 版本来修复此问题（通过实施严格输入验证和移除不安全的反序列化操作），但仍有超过 30% 的受影响网站尚未修补。 网站管理员必须采取以下行动： 立即更新至 GiveWP 3.20.0 或更高版本 审查服务器日志，查找对 /wp-json/givewp/v3/donations 的可疑 POST 请求 部署 Web 应用程序防火墙（WAF）规则，阻止 card_address 参数中的序列化数据 监测未经授权的文件更改或新管理员用户情况 对于暂时无法立即修补的网站，临时缓解措施包括禁用捐款小部件，或限制表单提交，仅允许通过 reCAPTCHA 验证的用户提交。 目前虽尚未发现活跃的利用行为，但该漏洞的简单性和高影响性使其成为勒索软件组织的主要攻击目标。 WordPress 安全团队敦促使用 GiveWP 的组织订阅漏洞披露信息源，并实施诸如 MalCare 实时漏洞利用预防之类的原子级安全措施。 鉴于全球超过 43% 的网站基于 WordPress 构建，此漏洞凸显了在非营利组织网络基础设施中，对第三方插件进行严格审核以及实施自动化补丁管理的迫切必要性。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WordPress的RealHome主题和Easy Real Estate插件存在两个严重漏洞，允许未经身份验证的用户获取管理员权限。 虽然Patchstack研究人员在2024年9月发现了这两个漏洞，并多次尝试联系供应商InspiryThemes，但至今未收到任何回复。同时，Patchstack指出，自2024年9月以来，供应商发布了三个版本，但未修复这些关键问题。因此，这些漏洞依然存在并可被利用。 RealHome主题和Easy Real Estate插件是房地产网站中最受欢迎的主题和插件之一。根据Envanto Market数据显示，RealHome主题目前用于32,600个网站。 第一个漏洞影响RealHome主题，是一个未经身份验证的权限提升问题，编号为CVE-2024-32444，CVSS评分为9.8。漏洞源于主题的inspiry_ajax_register函数允许用户注册新账户，但未正确验证授权或实现随机数验证。如果网站启用了注册功能，攻击者可通过特制的HTTP请求将自己的角色设为“管理员”，从而绕过安全检查。一旦注册为管理员，攻击者即可完全控制WordPress站点，包括篡改内容、植入脚本以及访问用户或其他敏感数据。 第二个漏洞影响Easy Real Estate插件，是通过社交登录实现的另一种未经身份验证的权限提升问题，编号为CVE-2024-32555，CVSS评分为9.8。该漏洞源于插件的社交登录功能，允许用户通过电子邮件地址登录，但未验证该地址是否属于请求者。如果攻击者知道管理员的电子邮件地址，则无需密码即可登录。成功利用该漏洞的后果与CVE-2024-32444类似。 由于InspiryThemes尚未发布修复补丁，建议使用上述主题或插件的网站所有者和管理员立即禁用它们。同时，限制用户注册功能可以防止未经授权的账户创建，从而降低漏洞被利用的风险。 鉴于这些问题已被公开，威胁行为者可能会尝试扫描易受攻击的网站，因此快速响应以减轻威胁至关重要。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的隐蔽信用卡盗刷攻击活动正瞄准WordPress电子商务结账页面，通过向与内容管理系统（CMS）相关的数据库表中插入恶意JavaScript代码来实施攻击。 Sucuri研究人员Puja Srivastava在新的分析中指出：“这款针对WordPress网站的信用卡盗刷恶意软件会悄无声息地将恶意JavaScript注入数据库条目中，以窃取敏感的支付信息。” “该恶意软件专门在结账页面上激活，要么劫持现有的支付字段，要么注入虚假的信用卡表单。” 这家由GoDaddy拥有的网站安全公司表示，它发现恶意软件被嵌入到WordPress的wp_options表中，该表具有“widget_block”选项，从而使其能够躲避扫描工具的检测，并在被攻陷的网站上持续存在而不引起注意。 通过这种方式，恶意JavaScript被插入到WordPress管理面板（wp-admin > widgets）中的HTML区块小部件中。 JavaScript代码的工作原理是检查当前页面是否为结账页面，并确保只有在网站访问者即将输入支付信息时才采取行动。此时，它会动态创建一个虚假的支付屏幕，模仿Stripe等合法的支付处理器。 该表单旨在捕获用户的信用卡号码、有效期、CVV号码和账单信息。此外，该恶意脚本还能够实时捕获在合法支付屏幕上输入的数据，以最大限度地提高兼容性。 随后，被盗数据会经过Base64编码并结合AES-CBC加密，以使其看起来无害并抵抗分析尝试。在最终阶段，数据会被传输到攻击者控制的服务器（“valhafather[.]xyz”或“fqbe23[.]xyz”）。 这一发现是在Sucuri突出类似攻击活动一个多月后出现的，该活动利用JavaScript恶意软件动态创建虚假的信用卡表单或提取结账页面上支付字段中输入的数据。 收集到的信息在被传输到远程服务器（“staticfonts[.]com”）之前，会经过三层混淆：首先将其编码为JSON，然后使用密钥“script”进行XOR加密，最后使用Base64编码。 Srivastava指出：“该脚本旨在从结账页面上特定的字段中提取敏感的信用卡信息。然后，该恶意软件通过Magento的API收集额外的用户数据，包括用户的姓名、地址、电子邮件、电话号码和其他账单信息。这些数据是通过Magento的客户数据和报价模型检索的。” 此次披露还紧随一起以金钱为目的的网络钓鱼邮件活动的发现，该活动诱骗收件人点击伪装成近2200美元未支付请求下的PayPal登录页面。 Fortinet FortiGuard Labs的Carl Windsor表示：“骗子似乎只是注册了一个为期三个月免费的Microsoft 365测试域名，然后创建了一个包含受害者电子邮件的分发列表（Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com）。在PayPal网页门户上，他们只是请求资金，并将分发列表作为地址添加。” 该活动之所以狡猾，是因为邮件来自合法的PayPal地址（service@paypal.com），并包含真实的登录网址，这使得邮件能够绕过安全工具的检测。 更糟糕的是，一旦受害者尝试登录他们的PayPal账户了解支付请求，他们的账户就会自动与分发列表的电子邮件地址关联，从而使威胁行为者能够控制该账户。 近几周来，还观察到恶意行为者利用一种名为交易模拟欺骗的新技术从受害者的钱包中窃取加密货币。 Scam Sniffer表示：“现代Web3钱包将交易模拟作为用户友好的功能纳入其中。此功能允许用户在签署交易之前预览其预期结果。虽然旨在提高透明度和用户体验，但攻击者已找到利用此机制的方法。” WordPress信用卡盗刷软件 感染链涉及利用交易模拟和执行之间的时间差，使攻击者能够设置模仿去中心化应用（DApps）的虚假网站，以执行欺诈性的钱包资金耗尽攻击。 Web3反诈骗解决方案提供商表示：“这一新的攻击手段代表了网络钓鱼技术的重大演变。攻击者不再依赖简单的欺骗手段，而是利用用户依赖的安全功能的可信钱包。这种复杂的方法使检测变得特别具有挑战性。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Radykal开发的WordPress高级插件Fancy Product Designer在其当前最新版本中仍存在两个未修复的严重安全漏洞。 该插件销量超过2万次，允许WooCommerce网站的用户在产品设计（如服装、马克杯、手机壳）中进行颜色更换、文本转换或尺寸修改等自定义操作。 2024年3月17日，Patchstack的Rafie Muhammad在检查该插件时发现，该插件存在以下两个严重漏洞： CVE-2024-51919（CVSS评分：9.0）：由于文件上传功能“save_remote_file”和“fpd_admin_copy_file”实现不安全，未正确验证或限制文件类型，导致未经身份验证的任意文件上传漏洞。攻击者可通过提供远程URL上传恶意文件，实现远程代码执行（RCE）。 CVE-2024-51818（CVSS评分：9.3）：由于使用了不足的“strip_tags”函数，导致用户输入未得到适当净化，从而引发未经身份验证的SQL注入漏洞。用户提供的输入未经适当验证便直接整合到数据库查询中，可能导致数据库被攻破，数据被检索、修改或删除。 Patchstack在发现这些问题后一天便通知了供应商，但Radykal至今未作回应。 Patchstack于1月6日将这两个漏洞添加到其数据库中，并于今日发布博客文章，以警告用户并提高对此类风险的认识。 Muhammad表示，尽管Radykal发布了20个新版本，且最新版本6.4.3也于2个月前发布，但这两个严重的安全问题仍未得到修复。 Patchstack的文章为攻击者提供了足够的技术信息，以便他们创建漏洞利用工具并开始针对使用Radykal的Fancy Product Designer插件的网店发起攻击。 作为一般建议，管理员应通过创建包含安全文件扩展名的允许列表来防止任意文件上传。此外，Patchstack还建议，通过对用户查询输入进行安全转义和格式化来净化输入，从而防范SQL注入攻击。 BleepingComputer已联系Radykal，询问其是否计划近期发布安全更新，但截至发稿时尚未收到回复。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Wordfence安全研究员披露重要信息 据Wordfence安全研究员István Márton披露，一个关键的认证绕过了漏洞被暴露在了WordPress的Really Simple Security（以前称为Really Simple SSL）插件中，如果此漏洞被利用，攻击者可以远程获得易受攻击网站的完全管理权限。 这个漏洞，被追踪为CVE-2024-10924（CVSS评分：9.8），影响插件的免费和付费版本。该软件安装在超过400万个WordPress网站上。 这个漏洞是可以脚本化的，意味着它可以被转换成大规模的自动化攻击，针对WordPress网站。 起因是一处不正确的用户检查错误处理 这个漏洞在2024年11月6日披露，在一周后发布的9.1.2版本中已被修补。可能是有被滥用的风险促使插件维护者与WordPress合作，在公开披露之前强制更新了所有运行此插件的网站。 根据Wordfence的说法，这个认证绕过漏洞存在于9.0.0至9.1.1.1版本中，起因是在一个名为“check_login_and_get_user”的函数中不正确的用户检查错误处理，添加双因素认证的一个特性做得不够安全，使得未经认证的攻击者可以在双因素认证启用时，通过一个简单的请求获得对任何用户账户的访问权限，包括管理员账户。 如果被利用，将失去所有网站管理权限 成功利用这个漏洞可能会有严重的后果，因为它可能允许恶意行为者劫持WordPress网站，并进一步将它们用于犯罪目的。 这一信息是Wordfence在透露了WPLMS学习管理系统（WordPress LMS，CVE-2024-10470，CVSS评分：9.8）中的另一个关键缺陷几天后发布的，该缺陷可能允许未经认证的威胁者读取和删除任意文件。 具体来说，4.963之前的版本由于文件路径验证和权限检查不足，这使得未经认证的攻击者能够读取和删除服务器上的任何任意文件，包括网站的wp-config.php文件。删除wp-config.php文件会使网站进入设置状态，允许攻击者通过将其连接到他们控制的数据库来发起对网站的接管。     转自Freebuf，原文链接：https://www.freebuf.com/news/415637.html 封面来源于网络，如有侵权请联系删除

流行的 WordPress 备份插件 WP Time Capsule 存在一个严重漏洞，导致 20,000 多个网站容易被完全接管。 该漏洞（CVE-2024-8856）由安全研究员Rein Daelman发现，未经认证的攻击者可将任意文件上传到网站服务器。这意味着恶意行为者有可能注入后门、恶意软件，甚至完全控制网站。 该漏洞源于插件的 UploadHandler.php 文件缺乏文件类型验证，以及缺乏直接文件访问防护。这种危险的组合为攻击者提供了入侵易受攻击网站的直接途径。 该漏洞的 CVSS 得分为 9.8，被列为严重漏洞。这强调了网站所有者立即采取行动的紧迫性。 成功利用此漏洞可能导致 数据泄露： 攻击者可能窃取敏感的用户信息、财务数据或专有内容。 网站篡改： 恶意行为者可能会篡改网站内容，损害网站声誉和用户信任。 恶意软件传播： 网站可能被用来向毫无戒心的访问者分发恶意软件。 完全接管服务器： 攻击者可以完全控制托管网站的服务器。 WP Time Capsule 开发团队已在 1.22.22 版本中解决了这一漏洞。强烈建议所有用户立即更新到该版本。 以下是 WordPress 用户的一些基本最佳实践： 保持更新插件和主题： 定期将所有插件和主题更新到最新版本，以修补安全漏洞。 使用强大的密码： 为 WordPress 管理员账户和所有用户账户选择强大、唯一的密码。 实施双因素身份验证： 启用双因素身份验证，增加一层额外的安全性。 定期备份网站： 备份对于从安全事故或数据丢失中恢复至关重要。 选择信誉良好的插件： 只安装来源可靠、安全记录良好的插件。     转自安全客，原文链接：https://www.anquanke.com/post/id/301939 封面来源于网络，如有侵权请联系删除

根据安全公司 Defiant 的建议，攻击者可以利用 WP-Members Membership WordPress 插件中的高严重性跨站脚本 (XSS) 漏洞将任意脚本注入网页。 该漏洞编号为 CVE-2024-1852，是输入清理和输出转义不充分造成的结果，允许攻击者创建将恶意脚本存储为用户 IP 地址值的帐户。 攻击者可以使用 WP-Members 会员资格的用户注册功能来填写并提交注册表，然后使用代理拦截注册请求，并修改它以包含 X-Forwarded-For 标头，其中包含脚本标记中的恶意负载，Defiant 的Wordfence研究团队表示。 问题是，如果请求中存在 X-Forwarded-For 标头，则插件将使用其值来存储依赖注册表单的任何用户的 IP 地址。 警报称： “由于 HTTP 标头可以被操纵，并且输入未经过净化，因此用户可以提供任何值，包括将存储为用户 IP 的恶意 Web 脚本。” 恶意脚本存储在用户的配置文件中，如果管理员编辑或查看用户帐户，则负载将包含在页面加载时生成的源代码中。 Wordfence 补充道：“重要的是要了解，此恶意代码将在管理员浏览器会话的上下文中执行，并可用于创建恶意用户帐户、将网站访问者重定向到其他恶意网站并执行其他恶意操作。” 在版本 3.4.9.2 中包含部分修复后，WP-Members 会员版本 3.4.9.3 修复了该漏洞。建议用户尽快更新其安装。 WP-Members是一个用户会员插件，拥有超过 60,000 个活跃安装，允许网站所有者轻松设置和管理用户注册、登录和配置文件、设置限制等。   转自安全客，原文链接：https://www.anquanke.com/post/id/295277 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Ultimate Member 插件中的高危 XSS 漏洞允许攻击者将脚本注入 WordPress 网站。 WordPress 安全公司 Defiant 的 Wordfence 团队发出警告称，Ultimate Member 插件中存在一个高危漏洞，可被利用将恶意脚本注入 WordPress 网站。 该漏洞编号为 CVE-2024-2123，被描述为跨站脚本（XSS）问题，利用了多个参数存储，允许攻击者将恶意脚本注入WordPress网站页面，并在加载这些页面时执行。 Wordfence解释称，该漏洞的根本原因在于Ultimate Member插件在输入清理和输出转义方面存在不足。具体而言，该插件的成员目录列表功能的实现不安全，未经身份验证的攻击者能够利用这一缺陷注入Web脚本。 由于“用户显示名称在插件模板文件中未经过转义显示”，并且用于编译用户数据的函数也不使用转义函数，因此攻击者可以在注册过程中提供恶意脚本作为用户名。 Wordfence 指出，通常情况下，CVE-2024-2123 等 XSS 漏洞可被利用注入代码来创建新的管理帐户、将访问者重定向到恶意网站或注入后门。 “由于该漏洞允许未经身份验证的攻击者在易受攻击的网站上利用，攻击者成功利用该漏洞后，可能获取运行易受攻击版本的插件的网站的管理用户访问权限， ”Wordfence 指出。 Wordfence指出，该安全漏洞于2月28日通过其漏洞赏金计划提交。插件的开发人员于3月2日获悉漏洞，并于3月6日发布了补丁。 此安全漏洞影响Ultimate Member 2.8.3及更早版本。建议用户尽快更新至Ultimate Member 2.8.4版本以修复该漏洞。 Ultimate Member是一个用于WordPress的用户配置文件和会员插件，拥有超过200,000个活跃安装。 根据WordPress的统计数据，在过去7天内，该插件被下载了约100,000次，这表明其一半用户仍然容易受到 CVE-2024-2123 的攻击。 消息来源：securityweek，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全研究人员近期发现 WordPress  LiteSpeed Cache 插件中存在一个安全漏洞，该漏洞被追踪为 CVE-2023-40000，未经身份验证的威胁攻击者可利用该漏洞获取超额权限。 LiteSpeed Cache 主要用于提高网站性能，据不完全统计已经有 500 多万安装用户。 Patchstack 研究员 Rafie Muhammad 表示，LiteSpeed Cache 插件中存在未经身份验证的全站存储的跨站脚本安全漏洞，可能允许任何未经身份验证的威胁攻击者通过执行单个 HTTP 请求，在 WordPress 网站上获取超额权限，从而获取受害者的敏感信息。 WordPress 方面指出，CVE-2023-40000 安全漏洞出现的原因是缺乏用户输入”消毒”和转义输出，安全漏洞已于 2023 年 10 月在 5.7.0.1 版本升级时得到了解决。 CVE-2023-40000 漏洞源于一个名为 update_cdn_status() 的函数，可在默认安装中重现，Muhammad指表示，由于 XSS 有效载荷被设置为了管理通知，而且管理通知可以显示在任何 wp-admin 端点上，因此任何可以访问 wp-admin 区域的用户都可以轻易触发 CVE-2023-40000 漏洞。 WordPress 频频曝出安全漏洞 2023 年 7 月 18 日，安全暖研究人员发现拥有 500 万安装用户的 WordPress 网站数据迁移插件 All-in-One WP Migration 存在未经身份验证的访问令牌操作漏洞，攻击者可借此访问网站敏感的数据信息。好消息是，由于 All-in-One WP Migration 只在网站迁移项目中使用，通常不会在其它任何时候激活，因此在一定程度上缓解了漏洞带来的安全问题。 All-in-One WP Migration 是一款流行的 WordPress 网站迁移工具，适用于非技术和经验不足的用户，允许将数据库、媒体、插件和主题无缝导出到一个易于在新目的地恢复的单个存档中。 安全漏洞被追踪为 CVE-2023-40004，允许未经身份验证的“用户”访问和操纵受影响扩展上的令牌配置，使网络攻击者将网站迁移数据转移到自身的第三方云服务账户或恢复恶意备份，一旦成功利用 CVE-2023-40004 ，导致包括用户详细信息、关键网站数据和专有信息等数据信息泄露。 安全研究人员在发现安全漏洞后，立刻报告给了 ServMask ，2023 年 7 月 26 日，供应商 ServMask 发布了安全更新，为 init 函数引入了权限和非 nonce 验证。 插件供应商 ServMask 提供的各种高级扩展都包含相同的易受攻击代码片段，这些代码片段在 init 函数中缺乏权限和 nonce 验证。（该代码还存在于 Box 扩展、Google Drive 扩展、One Drive 扩展和 Dropbox 扩展中，这些扩展都是为了方便使用上述第三方平台的数据迁移过程而创建。） 不久后， WordPress 又被爆出一个安装了超过 9 万次的 WordPress 插件中存在一个严重的安全漏洞，威胁攻击者能够利用该漏洞获得远程代码执行权限，从而完全控制有漏洞的网站。 该插件名为 “Backup Migration”，可帮助管理员自动将网站备份到本地存储或 Google Drive 账户上 安全漏洞被追踪为 CVE-2023-6553，严重性评分为 9.8/10，由一个名为 Nex Team 的漏洞“猎人”团队发现，主要影响 Backup Migration 1.3.6 及以下的所有插件版本。该团队发现漏洞后依据最近推出的漏洞悬赏计划，立刻向 WordPress 安全公司 Wordfence 报告了漏洞问题。 接收到漏洞通知后，Wordfence 方面表示威胁攻击者能够控制传递给 include 的值，然后利用这些值来实现远程代码执行，这使得未经身份验证的威胁攻击者可以在服务器上轻松执行代码。 通过提交特制的请求，威胁攻击者还可以利用 CVE-2023-6553 安全漏洞来“包含”任意的恶意 PHP 代码，并在 WordPress 实例的安全上下文中的底层服务器上执行任意命令。 2023 年12 月 6 日，安全研究人员又发现高级 WordPress 插件 Brick Builder 中的存在关键远程代码执行 (RCE) 漏洞，威胁攻击者能够利用漏洞在易受攻击的网站上执行恶意 PHP 代码。（Brick Builder 被“誉为”是创新的、社区驱动的可视化网站构建工具，拥有约 25000 个有效安装，可促进网站设计的用户友好性和定制化。） 接到安全漏洞通知后，Wordfence 立刻向 BackupBliss（备份迁移插件背后的开发团队）报告了这一重大安全漏洞，开发人员在数小时后发布了补丁。   转自Freebuf，原文链接：https://www.freebuf.com/news/392761.html 封面来源于网络，如有侵权请联系删除