首頁 > 技術(shù) > 正文

WordPress插件存在重大漏洞 黑客有機(jī)會(huì)獲取賬號(hào)權(quán)限|環(huán)球觀天下

2023-07-04 18:12:34來源:中關(guān)村在線  


(資料圖片僅供參考)

7月4日,據(jù)透露,一款受歡迎的WordPress博客平臺(tái)插件“Ultimate Member”存在重大的零日漏洞。這款用戶登錄系統(tǒng)插件中的該漏洞可能使黑客有機(jī)會(huì)提升自己的賬號(hào)權(quán)限,成為管理員并最終控制整個(gè)網(wǎng)站。 這個(gè)被揭露的插件漏洞被編號(hào)為CVE-2023-3460,風(fēng)險(xiǎn)評級(jí)高達(dá)9.8。黑客可以利用該漏洞繞過此插件內(nèi)置的安全措施,修改賬戶的wp_capabilities配置數(shù)據(jù),進(jìn)而將自己的賬號(hào)角色提升為管理員,從而控制受害網(wǎng)站。 插件開發(fā)者在6月26日發(fā)布的Ultimate Member 2.6.3版本中對該漏洞進(jìn)行了部分修復(fù),然后在7月1日發(fā)布的2.6.7版本中,這個(gè)漏洞被完全修復(fù)。 據(jù)了解,使用這款插件的WordPress網(wǎng)站超過20萬個(gè),考慮到因信息延遲導(dǎo)致的插件更新難以及時(shí)進(jìn)行,這些網(wǎng)站仍有很大的可能面臨黑客攻擊的風(fēng)險(xiǎn)。

標(biāo)簽:

相關(guān)閱讀

精彩推薦

相關(guān)詞

推薦閱讀