最新文章

Top News

WordPress 插件漏洞导致 10 万余个网站面临权限提升攻击风险

作者: hackernews 日期: 2026-01-21 分类: 漏洞

该漏洞编号为 CVE-2025-14533,影响插件 0.9.2.1 及之前版本,CVSS 评分高达 9.8(严重)。 如果未及时修补,未认证的攻击者可以利用用户注册表单中角色处理机制的缺陷,直接获得管理员级别权限。 该问题源于插件通过自定义表单创建用户的实现方式。网站管理员可使用字段组构建注册或用户资料表单,收集用户名、邮箱、密码以及用户角色等信息。...

超 100 款恶意 Chrome 扩展曝光:账号劫持、数据窃取、广告轰炸!

作者: hackernews 日期: 2025-05-21 分类: 网络安全, 网络钓鱼

HackerNews 编译,转载请注明出处: 未知攻击者自2024年2月起在Chrome应用商店投放多款恶意扩展程序,这些程序表面提供生产力工具、VPN、加密服务等实用功能,实则暗藏数据窃取、远程代码执行等恶意模块。 网络安全公司DomainTools调查发现,攻击者搭建仿冒DeepSeek、Manus、DeBank等知名服务的钓鱼网站,诱导用户安装对应扩展。这些扩展通过manifest.json文件申请过度权限,可劫持浏览器会话、注入广告、执行远程服务器下发的任意代码,...

三年后的今天,数百网站仍潜伏着 WordPress 恶意插件

作者: hackernews 日期: 2017-12-28 分类: 今日推送, 恶意软件

为了保护用户免受恶意插件的侵害,一些专家曾建议 WordPress 团队从官方插件目录中删除恶意插件时提醒网站所有者,但这一想法被 WordPress 团队以“可能致使站点面临更大安全风险”的由否定。这个建议争议的地方在于,它造成了一种道德和法律上的两难境地:删除插件能够保护网站免受黑客攻击, 目前,为了抵御一些主要的安全威胁,WordPress 开发人员在发现被感染的插件后会将其回滚到最后一个“干净”的版本,并将其作为一个新的更新强制安装在所有受影响插件的站点上。这样既能删除恶意代码、维护网站安全,同时也能保证网站功能不受影。...