Ultimate Member 是 WordPess 博客平臺(tái)中一款相當(dāng)受歡迎的“用戶登錄系統(tǒng)”插件��。安全公司 Wordfence 目前曝出該插件存在零日漏洞���,黑客可將自己的賬號(hào)提權(quán)為管理員,進(jìn)而控制接管網(wǎng)站��。
據(jù)悉��,該插件存在編號(hào)為 CVE-2023-3460 的重大漏洞��,風(fēng)險(xiǎn)評(píng)分為 9.8���,黑客可利用該漏洞�����,繞過(guò)此插件內(nèi)置的各項(xiàng)安全措施����,修改賬號(hào)的 wp_capabilities 配置數(shù)據(jù),以將黑客的賬號(hào)設(shè)置為管理員角色���,進(jìn)而控制受害網(wǎng)站���。
插件開(kāi)發(fā)者在 6 月 26 日發(fā)布 Ultimate Member 2.6.3 版本進(jìn)行了該漏洞進(jìn)行了部分修復(fù),此后在 7 月 1 日發(fā)布了 2.6.7 版本��,完全修復(fù)了該漏洞���。
IT之家經(jīng)過(guò)查詢得知��,部署該插件的 WordPress 網(wǎng)站超過(guò) 20 萬(wàn)個(gè)�,考慮到這一預(yù)裝量及信息差導(dǎo)致的插件更新延遲�����,這些網(wǎng)站依然極容易遭到黑客攻擊。
文章內(nèi)容僅供閱讀���,不構(gòu)成投資建議�����,請(qǐng)謹(jǐn)慎對(duì)待�����。投資者據(jù)此操作�,風(fēng)險(xiǎn)自擔(dān)��。
京公網(wǎng)安備 11010502041587號(hào)