WordPress 曝新漏洞,超过200万个网站面临遭受网络攻击!

图片[1]-WordPress 曝新漏洞,超过200万个网站面临遭受网络攻击!-零度博客

在发现安全漏洞后,WordPress 紧急敦促高级自定义字段插件的用户更新至版本 6.1.6。

该问题的标识符为 CVE-2023-30777,与反映的跨站点脚本 (XSS) 案例有关,该案例可能被滥用以将任意可执行脚本注入其他良性网站。

该插件有免费版和专业版,活跃安装量超过 200 万。该问题于 2023 年 5 月 2 日被发现并报告给维护人员。

“这个漏洞允许任何未经身份验证的用户窃取敏感信息,在这种情况下,通过诱骗特权用户访问精心设计的 URL 路径,在 WordPress 网站上提升权限,”Patchstack 研究员 Rafie Muhammad

反射 XSS攻击通常发生在受害者被诱骗点击通过电子邮件或其他途径发送的虚假链接时,导致恶意代码被发送到易受攻击的网站,从而将攻击反射回用户的浏览器。

社会工程的这一元素意味着反射型 XSS 的影响范围和规模与存储型 XSS 攻击不同,促使威胁行为者将恶意链接分发给尽可能多的受害者。

“[反射型 XSS 攻击] 通常是传入请求未经过充分清理的结果,这允许操纵 Web 应用程序的功能并激活恶意脚本,”Imperva指出

WordPress插件

值得注意的是,CVE-2023-30777 可以在 Advanced Custom Fields 的默认安装或配置中激活,尽管只有有权访问该插件的登录用户才能激活。

随着 Craft CMS 修补了两个中等严重程度的 XSS 漏洞(CVE-2023-30177CVE-2023-31144),威胁行为者可以利用这些漏洞为恶意负载提供服务。

它还遵循 cPanel 产品中另一个 XSS 漏洞的披露(CVE-2023-29489,CVSS 分数:6.1),可以在没有任何身份验证的情况下被利用来运行任意 JavaScript。

“攻击者不仅可以攻击 cPanel 的管理端口,还可以攻击在端口 80 和 443 上运行的应用程序,”Assetnote 的 Shubham Shah 说,并补充说它可以让对手劫持有效用户的 cPanel 会话。

“一旦代表 cPanel 的经过身份验证的用户行事,上传 web shell 并获得命令执行通常是微不足道的。”

THE END
喜欢就支持一下吧
点赞6539 分享
时钟历书:不同时区时间,世界历法,天文年鉴,全球节日和公共假期的APP 【限免】-零度博客

时钟历书:不同时区时间,世界历法,天文年鉴,全球节日和公共假期的APP 【限免】

随着全球化的进行,我们跟世界各地的人们交流越来越频繁,或者身边的朋友亲人去到世界各地工作学习生活。所以我们需要关心他们所在城市的时间天气,所在国家或地区的使用历法和工作日安排,所属...
admin的头像-零度博客admin
2W+1308
为什么要定期清洁手机的 USB-C 端口(以及如何清理)-零度博客

为什么要定期清洁手机的 USB-C 端口(以及如何清理)

您最后一次清洁手机的 USB-C 端口是什么时候?这些端口经常暴露在灰尘、棉绒和污垢中,可能会永久损坏您的手机或降低充电性能。这就是您需要定期清洁手机 USB-C 端口的原因,以及完成工作的一些...
admin的头像-零度博客admin
1.7W+2252
Terminux - 服务器管理工具 [macOS、iOS]  [限免活动]-零度博客

Terminux – 服务器管理工具 [macOS、iOS] [限免活动]

Terminux 是一款先进的 SSH 客户端,旨在简化并增强您的远程服务器管理体验。Terminux 拥有用户友好的界面和强大的功能,是 IT 专业人士、开发人员以及任何需要可靠 SSH 访问的用户的理想之选。...
admin的头像-零度博客admin
1.5W+983
Windows 10上安装Manjaro双系统-零度博客

Windows 10上安装Manjaro双系统

Manjaro官方镜像下载:https://manjaro.org Rufus写盘工具最新版:https://rufus.ie   安装教程:https://www.freedidi.com/2078.html
admin的头像-零度博客admin
1.1W+652
图片对比网站!轻松实现图片修改的前后对比特效-零度博客

图片对比网站!轻松实现图片修改的前后对比特效

Imgsli 是一个在线免费的图像对比工具,可以用来展示图片处理前后的差异。它神奇的点在于,每次我们制作的对比图都会有一个独立的代码(这点会反应在网址中),这样我们就能以链接的方式将对比...
admin的头像-零度博客admin
1.8W+2579
免费 AI 修图神器!Gemini AI 精准到心坎里,Midjourney 直接淘汰?| 零度解说-零度博客

免费 AI 修图神器!Gemini AI 精准到心坎里,Midjourney 直接淘汰?| 零度解说

  Google AI Studio 修图神器:https://aistudio.google.com
admin的头像-零度博客admin
1.7W+1460
轻松爬取清纯小姐姐私房照!小孩子别学-零度博客

轻松爬取清纯小姐姐私房照!小孩子别学

先上效果图 import re import requests import os   头文件: 因为爬虫需要用到请求网络部分,所以需要这两个包,没有的话自行下载即可。这个可以直接用pip安装。如果连pip都不懂,那就只...
admin的头像-零度博客admin
2.1W+2178
50 款全球知名的杀毒软件及其来源国家!-零度博客

50 款全球知名的杀毒软件及其来源国家!

  以下是50款全球知名的杀毒软件及其来源国家:卡巴斯基 (Kaspersky)国家:俄罗斯诺顿 (Norton)国家:美国迈克菲 (McAfee)国家:美国Bitdefender国家:罗马尼亚Avira国家:德国ESET NOD32国家...
admin的头像-零度博客admin
1.1W+3387
100% 由 AI 拍摄的《红楼梦》视频,1分钟让你看完四大名著之一 | 零度解说-零度博客

100% 由 AI 拍摄的《红楼梦》视频,1分钟让你看完四大名著之一 | 零度解说

https://www.youtube.com/watch?v=NDh24E6_86g   AI 版《红楼梦》视频提示词获取:https://www.freedidi.com/14729.html
admin的头像-零度博客admin
2.1W+3252