另一个主要的WordPress安全漏洞已经被发现
尤菡善
•
2024-01-26 14:08:08
摘要 最近在WordPress网站构建器的一个非常流行的附加组件中发现了一个零日漏洞,可能使大约200,000名使用它的人面临风险。来自Wordfence和WPSca...
最近在WordPress网站构建器的一个非常流行的附加组件中发现了一个零日漏洞,可能使大约200,000名使用它的人面临风险。
来自Wordfence和WPScan(均为WordPress安全公司)的网络安全研究人员在RoyalElementorAddonsandTemplates(由WPRoyal构建的网站构建附加套件)中发现了该漏洞。
该漏洞被跟踪为CVE-2023-5360,严重性评分为9.8(严重)。通过滥用该缺陷,威胁行为者可以将文件上传到WP平台,甚至绕过附加组件的不同检查,例如允许的文件类型。将来,这可能使他们能够完全接管易受攻击的网站(例如,如果他们上传允许远程执行代码的文件)。
研究人员补充说,该漏洞已被威胁行为者发现,并用于攻击,攻击从2023年8月下旬开始,到10月3日攻击量显着增加。
Wordfence报告识别并阻止了超过46,000次攻击,而WPScan发现了889个威胁行为者投放了10种不同负载的实例。虽然这听起来像是一次猛攻,但大多数攻击仅来自两个IP地址,这可能表明只有少数黑客知道该漏洞。
研究人员于10月3日联系了WPRoyal,三天内就发布了补丁。为了保护网站安全,建议管理员将RoyalElementor插件和模板插件更新到版本1.3.79。BleepingComputer发现,商业和免费扫描解决方案都可以帮助管理员确定其网站是否容易受到攻击。还值得一提的是,上传到最新版本不会自动删除感染-管理员需要手动执行此操作。
版权声明:本文由用户上传,如有侵权请联系删除!
标签: