HackerNews 编译，转载请注明出处：

Ninja Forms文件上传高级插件存在关键漏洞，允许未经认证上传任意文件，可导致远程代码执行。

...

HackerNews 编译，转载请注明出处：

Smart Slider 3 WordPress插件（活跃安装量超80万网站）存在一处漏洞，可被利用允许订阅者级别用户访问服务器上的任意文件。

经认证的攻击者可利用该漏洞访问敏感文件，如包含数据库凭证、密钥和盐值的wp-config.php，从而导致用户数据被盗及网站完全被接管的风险。

Smart Slider 3是WordPress最受欢迎的图像滑块和内容轮播插件之一，提供易用的拖放编辑器和丰富的模板选择。

该安全问题编号为CVE-2026-3098，由研究员Dmitrii Ignatyev发现并报告，影响Smart Slider 3 3.5.1.33及之前所有版本。

因需认证才能利用，该漏洞被评为中等严重程度。但这仅将影响限制于具有会员或订阅功能的网站——该功能在当今众多平台中十分常见。

漏洞源于插件AJAX导出操作缺少权限检查，允许任何已认证用户（包括订阅者）调用。

据WordPress安全公司Defiant（Wordfence安全插件开发商）研究人员称，'actionExportAll'函数缺少文件类型和来源验证，因此可读取任意服务器文件并加入导出档案。

nonce的存在无法阻止滥用，因为已认证用户可获取该值。

Defiant漏洞研究合约人员István Márton表示："遗憾的是，该漏洞版本的此函数未包含任何文件类型或文件来源检查。这意味着不仅图像或视频文件可被导出，.php文件同样可被导出。最终使具有最低权限（如订阅者）的经认证攻击者能够读取服务器上任意文件，包括包含数据库凭证及加密安全密钥和盐值的站点wp-config.php文件。"

50万网站仍处风险中

2月23日，Ignatyev将发现报告给Wordfence，后者研究人员验证了提供的概念验证利用程序，并通知Smart Slider 3开发商Nextendweb。

Nextendweb于3月2日确认报告，并于3月24日发布Smart Slider 3.5.1.34版本提供补丁。

据WordPress.org统计，该插件过去一周下载量为303,428次。这意味着至少50万个WordPress网站仍在运行Smart Slider 3的漏洞版本，面临攻击风险。

截至发稿，CVE-2026-3098尚未被标记为遭主动利用，但该状态可能很快改变，网站所有者/管理员需立即采取行动。

...

HackerNews 编译，转载请注明出处：

Elementor 旗下一款名为 Ally 的 WordPress 插件（主打网页可访问性与易用性，安装量超 40 万）存在 SQL 注入漏洞，未经身份验证的攻击者可利用该漏洞窃取敏感数据。

...

HackerNews 编译，转载请注明出处：

黑客正在利用 User Registration & Membership 插件中的高危漏洞，该插件在超过 6 万个 WordPress 网站上安装使用。

...

HackerNews 编译，转载请注明出处：

WordPress 的 WPvivid 备份与迁移插件存在高危漏洞，该插件安装于超 90 万个网站，攻击者可利用此漏洞无需身份验证上传任意文件，实现远程代码执行。

...

HackerNews 编译，转载请注明出处：

HackerNews 编译，转载请注明出处：

HackerNews 编译，转载请注明出处：

据Patchstack称，一款名为Modular DS的WordPress插件中一个严重性最高的安全漏洞正在野外被活跃利用。

该漏洞被追踪为CVE-2026-23550（CVSS评分：10.0），被描述为影响插件2.5.1及之前所有版本的未授权权限提升漏洞。该漏洞已在2.5.2版本中修复。该插件拥有超过40,000个有效安装。

"在2.5.1及以下版本中，由于直接路由选择、绕过身份验证机制以及自动以管理员身份登录等多种因素结合，该插件存在权限提升漏洞，" Patchstack表示。

问题根源在于其路由机制，该机制本应将某些敏感路由置于身份验证屏障之后。该插件将其路由暴露在/api/modular-connector/前缀下。

然而，研究发现，每当启用"直接请求"时，通过提供设置为"mo"的"origin"参数和设置为任意值（例如"origin=mo&type=xxx"）的"type"参数，即可绕过此安全层。这将导致请求被视作Modular直接请求。

"因此，一旦网站已连接到Modular（令牌存在/可续订），任何人都可以通过身份验证中间件：传入请求与Modular本身之间没有加密链接，" Patchstack解释道。

"这将暴露多个路由，包括/login/、/server-information/、/manager/和/backup/，这些路由允许执行从远程登录到获取敏感系统或用户数据等多种操作。"

由于此漏洞的存在，未经身份验证的攻击者可利用/login/{modular_request}路由获取管理员访问权限，从而导致权限提升。这可能为攻击者完全入侵网站铺平道路，使其能够引入恶意更改、植入恶意软件或将用户重定向到诈骗网站。

根据该WordPress安全公司分享的详细信息，利用该漏洞的攻击据称首次于2026年1月13日世界标准时间凌晨2点左右被检测到，攻击通过向端点/api/modular-connector/login/发起HTTP GET调用，随后尝试创建管理员用户。

攻击源自以下IP地址：

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

据 Wordfence 的监测数据显示，WordPress 平台的 Sneeit Framework 插件中存在的一个高危安全漏洞已被攻击者在野环境中积极利用。

此次涉及的远程代码执行漏洞编号为 CVE-2025-6389（CVSS 评分 9.8），影响该插件 8.3 及以下的所有版本，该漏洞已于 2025 年 8 月 5 日发布的 8.4 版本中完成修复。目前该插件的活跃安装量超 1700 个。

Wordfence 表示：“该漏洞成因是 [sneeit_articles_pagination_callback ()] 函数接收用户输入后，直接将其传入 call_user_func () 函数执行。这使得未授权攻击者能够在服务器上执行代码，进而可用于植入后门，或是创建新的管理员账户等操作。”

也就是说，攻击者可利用该漏洞调用任意 PHP 函数，比如通过 wp_insert_user () 函数创建恶意管理员账户。一旦成功创建，攻击者便能借此掌控整个网站，注入恶意代码，将网站访客重定向至钓鱼网站、恶意软件下载页面或垃圾信息站点。

Wordfence 指出，针对该漏洞的在野利用始于 2025 年 11 月 24 日（即漏洞公开披露当日），该公司已拦截超 13.1 万次针对此漏洞的攻击尝试，仅过去 24 小时内就记录到 15381 次攻击。

攻击详情

部分攻击行为表现为向 “/wp-admin/admin-ajax.php” 端点发送特制 HTTP 请求，创建如 “arudikadis” 这类恶意管理员账户，并上传可能用于获取后门访问权限的恶意 PHP 文件 “tijtewmg.php”。

...