服务器之家:专注于服务器技术及软件下载分享
分类导航

云服务器|WEB服务器|FTP服务器|邮件服务器|虚拟主机|服务器安全|DNS服务器|服务器知识|Nginx|IIS|Tomcat|

服务器之家 - 服务器技术 - 服务器安全 - WordPress插件曝新漏洞,超过200万个网站受影响

WordPress插件曝新漏洞,超过200万个网站受影响

2023-05-10 04:18未知服务器之家 服务器安全

在发现安全漏洞后,安全人员敦促WordPress高级自定义插件的用户更新版本6.1.6。 该漏洞被标识为 CVE-2023-30777,与反射式跨站点脚本 (XSS) 的情况有关,该漏洞可被滥用向其他良性网站注入任意可执行脚本。 该插件有免费和专业两

在发现安全漏洞后,安全人员敦促WordPress高级自定义插件的用户更新版本6.1.6。

该漏洞被标识为 CVE-2023-30777,与反射式跨站点脚本 (XSS) 的情况有关,该漏洞可被滥用向其他良性网站注入任意可执行脚本。

该插件有免费和专业两个版本,有超过两百万的安装。该漏洞于2023年5月2日被发现并报告给维护人员。

WordPress插件曝新漏洞,超过200万个网站受影响

Patchstack研究员Rafie Muhammad说:该漏洞允许任何未经认证的用户窃取敏感信息,在这种情况下,通过诱使有特权的用户访问特制的URL路径,在WordPress网站上进行特权升级。

反射式XSS攻击通常发生在,受害者被骗点击电子邮件或其他途径发送的假链接,导致恶意代码被发送到易受攻击的网站,该网站将攻击反射到用户的浏览器上。

这种社会工程元素意味着反射式XSS不具有与存储式XSS攻击相同的覆盖范围和规模,因此攻击者将恶意链接分发给尽可能多的受害者。

Imperva指出:反射式XSS攻击通常是由于传入的请求没有得到充分的净化,从而允许操纵网络应用程序的功能和激活恶意脚本。

值得注意的是,CVE-2023-30777可以在Advanced Custom Fields的默认安装或配置上激活,尽管只有对该插件有访问权限的登录用户才有可能这样做。

Craft CMS修补了两个中等强度的XSS漏洞(CVE-2023-30177和CVE-2023-31144),攻击者可以利用这些漏洞提供恶意的有效载荷。

此外,cPanel 产品中还披露了另一个 XSS 漏洞(CVE-2023-29489,CVSS 分数:6.1),该漏洞可以在没有任何身份验证的情况下被利用来运行任意 JavaScript。

Assetnote的Shubham Shah说:攻击者不仅可以攻击cPanel的管理端口,还可以攻击运行在80和443端口的应用程序。

参考链接:https://thehackernews.com/2023/05/new-vulnerability-in-popular-wordpress.html

延伸 · 阅读

精彩推荐
  • 服务器安全上海ecs云服务器安全设计

    上海ecs云服务器安全设计

    本文将从上海ECS 云服务器 的安全设计角度,分别介绍物理安全、网络安全、系统安全、应用安全和数据安全等方面的设计思路和技术手段,同时探讨如何...

    未知562023-05-10
  • 服务器安全2020年黑客首选10大Windows网络攻击技术

    2020年黑客首选10大Windows网络攻击技术

    Red Canary近期公布了《 2021 Threat Detection Report》,该报告涵盖了众多顶级网络攻击技术到MITER ATT&CK框架的映射。其中,就2020年黑客首选10大Windows网络攻击技术...

    FreeBuf10322021-05-07
  • 服务器安全密码退出历史舞台,谷歌支持 Passkey 登录

    密码退出历史舞台,谷歌支持 Passkey 登录

    The Hacker News 网站披露谷歌又“玩出了”新花样,推出一项名为 Passkey 的新功能,用户可以无需密码,使用更安全、更简单、更快速的方式登录其谷歌账号。...

    未知722023-05-10
  • 服务器安全mcafee是什么软件?好用吗?

    mcafee是什么软件?好用吗?

    McAfee 是一款非常强大的 防毒软件 ,是全球畅销的 杀毒软件 之一,除了操作界面更新外,也将该公司的WebScanX功能合在一起,增加了许多新功能。除了帮你...

    网络6402019-06-22
  • 服务器安全服务器安全组设置规则-其他问题

    服务器安全组设置规则-其他问题

    问:任何IP可以访问80和443端口,其他任何IP访问服务器所有端口都关闭。 在 服务器安全 组怎么设置规则?,服务器安全组设置规则 答:您好,用户可参照...

    未知1322023-05-10
  • 服务器安全百度云服务器安全吗

    百度云服务器安全吗

    百度 云服务器 是由百度公司提供的云服务器服务。随着云计算技术的发展和普及,越来越多的企业和个人选择将自己的数据和应用程序放在云服务器上。...

    未知1302023-05-10
  • 服务器安全服务器针对DDOS攻击有哪些对策

    服务器针对DDOS攻击有哪些对策

    DDOS攻击令人望而生畏,可直接造成网站宕机和服务器瘫痪,给网站乃至企业造成严重损失。而且DDOS很难防范,所以目前可以说是无药可救,只能尽可能提...

    服务器技术网11702021-10-24
  • 服务器安全IIS的安全性全解析

    IIS的安全性全解析

    信息服务器IIS是BACKOFFICE系列产品中功能最强大、最流行的应用程序,它与整个BACKOFFICE组件一样,IIS也是围绕WINDOWS NT体系而生成的。它作为WINDOWS NT SERVER提...

    服务器之家4712020-04-14