最新文章
Top News
未修复严重漏洞影响 Radykal 的 WordPress 高级插件
Radykal开发的WordPress高级插件Fancy Product Designer在其当前最新版本中仍存在两个未修复的严重安全漏洞。 该插件销量超过2万次,允许WooCommerce网站的用户在产品设计(如服装、马克杯、手机壳)中进行颜色更换、文本转换或尺寸修改等自定义操作。 2024年3月17日,Patchstack的Rafie Muhammad在检查该插件时发现,该插件存在以下两个严重漏洞:...
企业警惕:浏览器插件风险高达 51%,或引发敏感数据被窃
一项新的研究发现,组织允许员工在使用软件即服务(SaaS)应用程序(如Google Workspace和Microsoft 365)时使用的许多浏览器扩展可以访问高级别的内容,并存在数据盗窃和合规性问题等风险。 Spin.AI的研究人员最近对企业环境中使用的约 300,000个浏览器扩展和第三方OAuth应用程序进行了风险评估。重点是跨多种浏览器(例如Google Chrome和Microsoft Edge)的基于Chromium的浏览器扩展。...
WordPress 爆高危漏洞插件,可被用来创建非法管理员帐户
WordPress网站的终极会员插件中有多达20万个未修补的关键安全漏洞,如今面临着很高的攻击风险。
该漏洞被追踪为CVE-2023-3460 (CVSS得分:9.8),影响所有版本的Ultimate Member插件,包括2023年6月29日发布的最新版本(2.6.6)。 此外, 网站维护人员还表示:2.6.7引入了我们在发送表单时存储的元键白名单,并且分离了表单设置数据和提交数据,可在两个不同的变量中操作它们。 转自 Freebuf,原文链接:https://www.freebuf.com/news/370917.html...
WordPress 插件漏洞被利用 近 20 万站点还没打补丁
攻击者正在利用两个广泛使用的 WordPress 插件中的严重漏洞,以入侵托管站点,影响站点数量众多。 前几天我们才报导过流量排名前一千万网站,三分之一使用 WordPress,这么广泛的采用,一旦其中有安全漏洞被利用,影响会相当广。 被利用的两个插件,其中之一是 Easy WP SMTP,最早由安全公司 NinTechNet 在上周日报导了其被利用进行攻击,数据显示有 300 000 次下载安装;另一个插件是 Social Warfare,已经被安装了 70 000 次,它的利用是由另一家安全公司 Defiant 披露的。...
WordPress 曝出插件漏洞 允许任何用户接管网站
使用 WordPress 管理其网站的用户,很可能在其中一个插件中,找到近期曝光的那个安全漏洞。一名来自 WebARX 的安全研究人员,刚刚发现了“简易社交分享按钮”(Simple Social Buttons)插件的一个缺陷。该插件旨在方便网站管理员在文章、评论、或网站的其它部分, 然而最新曝光的漏洞,允许任何能够在上创建新账户的用户,利用它来访问“通常只有管理员才能解除的设置”。换言之,别有用心的攻击者,可以通过该插件来接管网站。 安全研究人员指出,截止目前,WPBrigade 简易社交分享按钮插件的下载量,早已超过 50 万次。WordPress 声称,其已被超过 4 万网站采用。...
黑客利用存在 5 年的漏洞感染 Linux 服务器并获利
黑客组织利用 Cacti“Network Weathermap”插件中一个存在 5 年之久的漏洞,在 Linux 服务器上安装了 Monero 矿工,赚了近 75,000 美元。来自美国安全公司趋势科技的专家表示, 这次,攻击者利用了 Cacti 的 CVE-2013-2618 漏。Cacti 是一个基于 PHP 的开源网络监视和图形工具,更具体地说,是在其 Network Weathermap 插件中负责可视化网络活动。 就像在以前的攻击一样,黑客利用这个漏洞获得底层服务器的代码执行能力,在这些服务器上他们下载并安装了一个合法的 Monero 挖掘软件 XMRig 的定制版本。...
超过 8800 个 WordPress 官方插件存漏洞
据外媒报道,安全公司 RIPS 技术人员分析了 WordPress 官方插件目录中的 44705 个插件,发现超过 8800 个 WordPress 插件存在漏洞。 安全公司 RIPS 下载了 WordPress 官方插件库中的全部插件共 47959 个,并使用静态代码分析器分析插件。令人震惊的是,约一半的“大型”插件至少存在一个中等严重程度的漏洞。 大约 14000 个插件是由 2-5 个文件组成,其中只有 10500 个插件由超过 500 行代码组成,这类插件被列为“大型插件”。...