設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

WordPress 第三方“用戶登錄系統(tǒng)”插件曝零日提權(quán)漏洞,20 萬(wàn)網(wǎng)站受影響

2023/7/4 10:40:46 來(lái)源:IT之家 作者:漾仔(實(shí)習(xí)) 責(zé)編:汪淼

IT之家 7 月 4 日消息,Ultimate Member 是 WordPess 博客平臺(tái)中一款相當(dāng)受歡迎的“用戶登錄系統(tǒng)”插件。安全公司 Wordfence 目前曝出該插件存在零日漏洞,黑客可將自己的賬號(hào)提權(quán)為管理員,進(jìn)而控制接管網(wǎng)站

▲ 圖源 Wordfence

據(jù)悉,該插件存在編號(hào)為 CVE-2023-3460 的重大漏洞,風(fēng)險(xiǎn)評(píng)分為 9.8,黑客可利用該漏洞,繞過(guò)此插件內(nèi)置的各項(xiàng)安全措施,修改賬號(hào)的 wp_capabilities 配置數(shù)據(jù),以將黑客的賬號(hào)設(shè)置為管理員角色,進(jìn)而控制受害網(wǎng)站。

▲ 圖源 Wordfence

插件開(kāi)發(fā)者在 6 月 26 日發(fā)布 Ultimate Member 2.6.3 版本進(jìn)行了該漏洞進(jìn)行了部分修復(fù),此后在 7 月 1 日發(fā)布了 2.6.7 版本,完全修復(fù)了該漏洞。

IT之家經(jīng)過(guò)查詢(xún)得知,部署該插件的 WordPress 網(wǎng)站超過(guò) 20 萬(wàn)個(gè),考慮到這一預(yù)裝量及信息差導(dǎo)致的插件更新延遲,這些網(wǎng)站依然極容易遭到黑客攻擊。

廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:黑客WordPress,Ultimate Member,漏洞

軟媒旗下網(wǎng)站: IT之家 最會(huì)買(mǎi) - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機(jī)APP應(yīng)用 魔方 最會(huì)買(mǎi) 要知