“快速页面 / 文章重定向”（Quick Page/Post Redirect）插件安装量超 7 万，5 年前被植入后门，可向用户网站注入任意代码。

该恶意软件由 WordPress 托管服务提供商 Anchor 的创始人奥斯汀・金德（Austin Ginder）发现。...

HackerNews 编译，转载请注明出处：

黑客正在积极利用 WordPress 的 Breeze Cache 插件中的一个严重漏洞，该漏洞可让攻击者在无需身份验证的情况下，在服务器上上传任意文件。

此安全漏洞编号为 CVE - 2026 - 3844，...

HackerNews 编译，转载请注明出处：

“EssentialPlugin” 套件中的 30 多个 WordPress 插件被植入恶意代码，使得运行这些插件的网站面临未经授权的访问风险。

一名恶意行为者于去年植入后门代码，...

HackerNews 编译，转载请注明出处： Ninja Forms文件上传高级插件存在关键漏洞，允许未经认证上传任意文件，可导致远程代码执行。 该漏洞编号CVE-2026-0740，目前正遭攻击利用。据WordPress安全公司Defiant称，其Wordfence防火墙过去24小时已拦截超过3600次攻击。...

Smart Slider 3 WordPress插件（活跃安装量超80万网站）存在一处漏洞，可被利用允许订阅者级别用户访问服务器上的任意文件。
经认证的攻击者可利用该漏洞访问敏感文件，如包含数据库凭证、密钥和盐值的wp-config.php，从而导致用户数据被盗及网站完全被接管的风险。...

HackerNews 编译，转载请注明出处： Elementor 旗下一款名为 Ally 的 WordPress 插件（主打网页可访问性与易用性，安装量超 40 万）存在 SQL 注入漏洞，未经身份验证的攻击者可利用该漏洞窃取敏感数据。 该安全漏洞编号为 CVE-2026-2313，被评定为高严重性。漏洞由 Acquia 公司的攻击性安全工程师 Drew Webber（mcdruid）发现，Acquia 是一家提供企业级数字体验平台（DXP）的软件即服务（SaaS）公司。...

HackerNews 编译，转载请注明出处： 黑客正在利用 User Registration & Membership 插件中的高危漏洞，该插件在超过 6 万个 WordPress 网站上安装使用。 该插件由 WPEverest 开发，提供会员与用户注册管理功能，包括自定义表单、PayPal/Stripe 支付集成、银行转账及数据分析。...

HackerNews 编译，转载请注明出处： WordPress 的 WPvivid 备份与迁移插件存在高危漏洞，该插件安装于超 90 万个网站，攻击者可利用此漏洞无需身份验证上传任意文件，实现远程代码执行。 该安全漏洞编号为 CVE-2026-1357，严重性评分为 9.8 分，影响该插件 0.9.123 及之前的所有版本，可能导致网站被完全接管。...

HackerNews 编译，转载请注明出处： 超过40,000个使用Quiz and Survey Master插件的WordPress站点受到一个SQL注入漏洞的影响，该漏洞允许经过身份验证的用户干扰数据库查询。 该漏洞存在于10.3.1及更早的版本中，可以被任何具有“订阅者”（Subscriber）级别或更高权限的登录用户利用，从而增加了未经授权访问数据的风险。...

该漏洞编号为 CVE-2025-14533，影响插件 0.9.2.1 及之前版本，CVSS 评分高达 9.8（严重）。 如果未及时修补，未认证的攻击者可以利用用户注册表单中角色处理机制的缺陷，直接获得管理员级别权限。 该问题源于插件通过自定义表单创建用户的实现方式。网站管理员可使用字段组构建注册或用户资料表单，收集用户名、邮箱、密码以及用户角色等信息。...