WordPress 曝新漏洞,超过200万个网站面临遭受网络攻击!

图片[1]-WordPress 曝新漏洞,超过200万个网站面临遭受网络攻击!-零度博客

在发现安全漏洞后,WordPress 紧急敦促高级自定义字段插件的用户更新至版本 6.1.6。

该问题的标识符为 CVE-2023-30777,与反映的跨站点脚本 (XSS) 案例有关,该案例可能被滥用以将任意可执行脚本注入其他良性网站。

该插件有免费版和专业版,活跃安装量超过 200 万。该问题于 2023 年 5 月 2 日被发现并报告给维护人员。

“这个漏洞允许任何未经身份验证的用户窃取敏感信息,在这种情况下,通过诱骗特权用户访问精心设计的 URL 路径,在 WordPress 网站上提升权限,”Patchstack 研究员 Rafie Muhammad

反射 XSS攻击通常发生在受害者被诱骗点击通过电子邮件或其他途径发送的虚假链接时,导致恶意代码被发送到易受攻击的网站,从而将攻击反射回用户的浏览器。

社会工程的这一元素意味着反射型 XSS 的影响范围和规模与存储型 XSS 攻击不同,促使威胁行为者将恶意链接分发给尽可能多的受害者。

“[反射型 XSS 攻击] 通常是传入请求未经过充分清理的结果,这允许操纵 Web 应用程序的功能并激活恶意脚本,”Imperva指出

WordPress插件

值得注意的是,CVE-2023-30777 可以在 Advanced Custom Fields 的默认安装或配置中激活,尽管只有有权访问该插件的登录用户才能激活。

随着 Craft CMS 修补了两个中等严重程度的 XSS 漏洞(CVE-2023-30177CVE-2023-31144),威胁行为者可以利用这些漏洞为恶意负载提供服务。

它还遵循 cPanel 产品中另一个 XSS 漏洞的披露(CVE-2023-29489,CVSS 分数:6.1),可以在没有任何身份验证的情况下被利用来运行任意 JavaScript。

“攻击者不仅可以攻击 cPanel 的管理端口,还可以攻击在端口 80 和 443 上运行的应用程序,”Assetnote 的 Shubham Shah 说,并补充说它可以让对手劫持有效用户的 cPanel 会话。

“一旦代表 cPanel 的经过身份验证的用户行事,上传 web shell 并获得命令执行通常是微不足道的。”

THE END
喜欢就支持一下吧
点赞6539 分享
甲骨文云服务器权限修改,用ROOT密码直接登陆-零度博客

甲骨文云服务器权限修改,用ROOT密码直接登陆

甲骨文VPS默认是通过密钥文件登陆机器,无法直接用账户密码,所以需要做一些改动 让机器能直接通过root密码登陆。 登陆 首先我们需要用密钥登陆VPS,甲骨文Centos系统默认用户是:opc 点击连接...
admin的头像-零度博客admin
1.9W+2252
美国硅谷银行倒闭后,USDC 稳定币和加密货币市场失控-零度博客

美国硅谷银行倒闭后,USDC 稳定币和加密货币市场失控

USDC 通常稳定的价格从 1 美元跌至 0.89 美元,而以太坊汽油费在这家加密银行倒闭数小时后飙升。 周六早些时候,由于硅谷银行 (SVB) 的倒闭导致该行业的一些核心管道失灵,加密货币危机进入高潮...
admin的头像-零度博客admin
1.2W+6539
U盘坏了不要扔!这是最有效的修复方法:USB无法访问,SD卡被锁定,无法读写、格式化,被写保护等都可以解决!| 零度解说-零度博客

U盘坏了不要扔!这是最有效的修复方法:USB无法访问,SD卡被锁定,无法读写、格式化,被写保护等都可以解决!| 零度解说

https://youtu.be/GNmCpQwoXHk?si=l1ea5oVXL_Nk7HUj ============= DiskGenius免费版下载:https://www.freedidi.com/3905.html
埃及神秘物品,距今2000多年居然还能使用!难道它们来自地外文明吗?-零度博客

埃及神秘物品,距今2000多年居然还能使用!难道它们来自地外文明吗?

距今有2000多年前的神秘电池,居然还能使用!难道是外星人留下的吗? https://youtu.be/PU6QQfB6_hI
Windows 11(24H2)正式版! 最新官方升级教程,硬件不达标也能安装 | 零度解说-零度博客

Windows 11(24H2)正式版! 最新官方升级教程,硬件不达标也能安装 | 零度解说

https://youtu.be/nQdMHPWXHwk   Windows 11 24H2 正式版下载:https://www.freedidi.com/15003.html
9个超实用的电脑使用技巧!高效办公、解决程序卡顿、蓝屏死机等! Power Toys | 零度解说-零度博客

9个超实用的电脑使用技巧!高效办公、解决程序卡顿、蓝屏死机等! Power Toys | 零度解说

本期视频内容: 1.任务管理器置顶 2.Windows 小组件自定义 3.Hosts文件超简单修改 4.Locksmith 文件占用解锁 5.窗口置顶 6.Power toys 快速启动 7.文件批量重命名 8.文本提取器 Power Toys:【...
admin的头像-零度博客admin
1.7W+2252
Inpaint-web 一键去水印,在线使用完全免费!-零度博客

Inpaint-web 一键去水印,在线使用完全免费!

Inpaint-web 是基于 Webgpu 技术和 wasm 技术的免费开源 inpainting & image-upscaling 工具, 纯浏览器端实现。 在线使用 【点击前往】Github 开源 【链接直达】备用下载方式:【链接直达...
admin的头像-零度博客admin
2.1W+3004
传播约 14 个月的恶意程序在 Mac 苹果设备上安装系统后门-零度博客

传播约 14 个月的恶意程序在 Mac 苹果设备上安装系统后门

被称为 UpdateAgent 的 Mac 恶意软件已经传播了一年多,随着其开发人员添加新的花里胡哨,它变得越来越恶毒。新增内容包括推送一个激进的第二阶段广告软件有效载荷,该有效载荷在受感染的 Mac ...
admin的头像-零度博客admin
1.6W+2251
永久免费 VPN 批量获取!速度极快,秒开4K/8K视频,一键白嫖BPB面板的BUG节点 | 零度解说-零度博客

永久免费 VPN 批量获取!速度极快,秒开4K/8K视频,一键白嫖BPB面板的BUG节点 | 零度解说

今天我们主要来说下,如何批量免费获取高质量的VPN节点,直接导入到V2ray客户端就可以使用,关键是速度极快!下载速度可以到达将近800多M,秒开4K、8K视频。完全免费,节点多到用不完 真的用不...