Echo

Echo 关注TA

大家好,我是Echo!

Echo

Echo

关注TA

大家好,我是Echo!

  •  普罗旺斯
  • 自由职业
  • 写了309,678,528字

该文章投稿至Nemo社区   资讯  板块 复制链接


WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响

发布于 2023/07/04 10:42 209浏览 0回复 521

IT之家 7 月 4 日消息,Ultimate Member 是 WordPess 博客平台中一款相当受欢迎的“用户登录系统”插件。安全公司 Wordfence 目前曝出该插件存在零日漏洞,黑客可将自己的账号提权为管理员,进而控制接管网站

▲ 图源 Wordfence

据悉,该插件存在编号为 CVE-2023-3460 的重大漏洞,风险评分为 9.8,黑客可利用该漏洞,绕过此插件内置的各项安全措施,修改账号的 wp_capabilities 配置数据,以将黑客的账号设置为管理员角色,进而控制受害网站

▲ 图源 Wordfence

插件开发者在 6 月 26 日发布 Ultimate Member 2.6.3 版本进行了该漏洞进行了部分修复,此后在 7 月 1 日发布了 2.6.7 版本,完全修复了该漏洞

IT之家经过查询得知,部署该插件的 WordPress 网站超过 20 万个,考虑到这一预装量及信息差导致的插件更新延迟,这些网站依然极容易遭到黑客攻击。

广告声明:本文含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考。IT之家所有文章均包含本声明。


本文由LinkNemo爬虫[Echo]采集自[https://www.ithome.com/0/703/528.htm]

本文标签
 {{tag}}
点了个评