恶意插件 - HackerNews

作者: hackernews 日期: 2026-01-21 分类: 漏洞

HackerNews 编译，转载请注明出处：

一项严重的安全漏洞出现在广受欢迎的 Advanced Custom Fields: Extended WordPress 插件中，已使 10 万多个网站 面临被完全接管的风险。

该漏洞编号为 CVE-2025-14533，影响插件 0.9.2.1 及之前版本，CVSS 评分高达 9.8（严重）。

如果未及时修补，未认证的攻击者可以利用用户注册表单中角色处理机制的缺陷，直接获得管理员级别权限。

...

作者: hackernews 日期: 2025-05-21 分类: 网络安全, 网络钓鱼

HackerNews 编译，转载请注明出处：

未知攻击者自2024年2月起在Chrome应用商店投放多款恶意扩展程序，这些程序表面提供生产力工具、VPN、加密服务等实用功能，实则暗藏数据窃取、远程代码执行等恶意模块。

...

作者: 榆榆日期: 2017-12-28 分类: 今日推送, 恶意软件

据外媒 12 月 26 日报道，WordPress 团队于 2014 年发现并删除的 14 个 WordPress 恶意插件如今仍然被数百个网站使用。这些恶意插件可能允许攻击者远程执行代码，导致网站信息泄露。目前，WordPress 团队已经提供了应对措施。

WordPress 团队 2014 年初披露 14 个 WordPress 插件存在恶意代码，能够允许攻击者在被劫持的网站上插入 SEO 垃圾邮件链接，从而通过邮件获得该网站的 URL 和其他详细信息。直至 2014 年底，官方才从目录中删除了这些恶意插件。

WordPress 团队最近发现官方插件目录被人为更改，导致原本已屏蔽的旧插件页面仍然可见，并且所有插件都包含有恶意代码的页面。这表明在官方删除恶意插件的三年后仍有数百个站点还在使用着它们。

...