标签: WordPress漏洞

WordPress IOS程序泄露通信安全令牌 可使第三方获取 该漏洞已被修复

负责WordPress.com博客平台的公司Automattic表示,它修复了其官方iOS应用程序中的一个错误,该错误可能会将用户的帐户身份验证令牌暴露给第三方网站。

[……]

继续阅读

WordPress两大插件爆0day漏洞 均在野外被利用 请尽快升级至最新版本

最近,研究人员在wordpress的两个常用插件中发现了两个0day漏洞,这两个插件分别是Social Warfare社会化分享插件和Easy WP SMTP插件,两个插件均被上万个网站使用,已知两个0day漏洞均在野外被利用,请受影响的网站尽快升级至最新版本。[……]

继续阅读

站长们注意了!WordPress评论系统被批露远程代码执行漏洞 请尽快更新至最新版本5.1.1

近期,RIPS公司的研究员批露了wordpress中的CSRF漏洞,该漏洞甚至可能造成远程代码执行。如果您的WordPress网站还未更新到最新版本5.1.1,建议您立刻升级版本,否则黑客可能利用新批露的漏洞破解您的网站。
[……]

继续阅读

站长们注意啦 | WordPress关键RCE漏洞存在6年未被修复 请尽快升级到5.0.3版本

近期,安全研究人员批露了一个关键的远程代码执行漏洞,攻击者通过利用作者权限的账户,修改与图片关联的任何条目并将其设置为任意值,从而导致Path Traversal漏洞。WordPress已在最新版本5.0.3中修复该漏洞,请站长尽快升级![……]

继续阅读

严重的WordPress插件 0day漏洞允许黑客进行特权升级攻击

wordpress 0day漏洞已在更新的更新版本1.4.3中进行了修补。与此同时,运行1.4.2及更早版本的所有站点仍然容易受到此攻击。报告显示,攻击者正在针对WP GDPR合规性错误,该错误允许他们调用易受攻击的插件的内部功能之一。反过来,这允许攻击者更改插件和整个WordPress CMS的设置。

[……]

继续阅读

站长快读 | WP插件Duplicator漏洞 造成数据泄露和权限提升 请尽快升级插件

攻击者正在扫描运行易受攻击版本的流行插件的WordPress网站,这些插件可能允许他们接管网站和服务器。Duplicator插件不会删除迁移后遗留的文件,包括原始的ZIP存档和PHP文件。这意味着攻击者可以随时访问installer.php脚本并输入自己的数据库凭据以获得对网站的临时控制,并间接控制网站系统服务器。[……]

继续阅读

PHP反序列化漏洞 可用于攻击WordPress和Typo3等站点

来自Secarma的安全研究员Sam Thomas 发现了一种新的开发技术,可以使黑客更容易使用以前风险较低的函数触发PHP编程语言中的关键反序列化漏洞。这项新技术使成千上万的Web应用程序受到远程代码执行攻击,包括由一些流行的内容管理系统(如WordPress和Typo3)提供支持的网站。[……]

继续阅读

站长关注 | WordPress v4.9.7修复任意文件删除漏洞 赶快下载更新吧

近期,研究人员纰漏了wordpress的删除任意文件漏洞,攻击者可以利用bug删除wp配置文件, 删除此文件的攻击者可以重新启动安装过程并使用他们自己的数据库设置安装该站点,从而有效地劫持站点以传递自定义或恶意内容。目前,wordpress团队已修复并发布新版本4.9.7,站长们赶快下载更新把。[……]

继续阅读

视频 | WordPress通杀DoS漏洞CVE-2018-6389 可DoS攻击过去9年所有WordPress网站

漏洞出在load-scripts.php文件中,作者给出了poc视频及修补脚本,即使没有大量的恶意流量,也可以被攻击者利用,但Wordpress团队拒绝承认这个漏洞。[……]

继续阅读

2017年WordPress插件及主题漏洞221个 只有8个补丁 1700多万网站受威胁

其中易受攻击的插件202个,易受攻击的主题5个,主要的漏洞类型包括跨站点脚本漏洞(XSS)35.1%、SQL注入漏洞(SQLi)19.8%及失效的访问控制9.9%[……]

继续阅读