其他
WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞
编译:代码卫士
WordPress 发布自动更新,修复了位于安装在500多万个网站上的 Jetpack 插件中的一个严重漏洞。
该漏洞是在一次内部安全审计中发现的,影响2012年11月发布的 Jetpack 2.0及后续版本中的 API 中。Jetpack 在安全公告中指出,“该漏洞可被网站作者用于操纵 WordPress 中的任何文件。”目前已发布102个 Jetpack 新版本缓解该漏洞。
虽然未有证据表明该漏洞已遭在野利用,但威胁行动者经常利用热门 WordPress 插件中的漏洞接管网站并实施恶意行为。
这并非Jetpack 漏洞首次导致 WordPress 强制安装补丁。
2019年11月,Jetpack 发布7.9.1版本,修复了该插件处理自2017年起(5.1版本)处理嵌入式代码方式中的漏洞。前不久,Patchstack 披露称付费版 Gravity Forms 插件中存在一个漏洞,可导致未认证用户注入任意 PHP 代码。该漏洞 (CVE-2023-28782) 影响所有自2.7.3及以下版本,已在2.7.4中修复。
WordPress 热门插件中存在漏洞,200多万网站受影响
PHP Everywhere 插件中存在严重RCE,影响数千个 WordPress 站点
https://thehackernews.com/2023/06/urgent-wordpress-update-fixes-critical.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。