WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响

7 月 4 日消息,Ultimate Member 是 WordPess 博客平台中一款相当受欢迎的“用户登录系统”插件。安全公司 Wordfence 目前曝出该插件存在零日漏洞,黑客可将自己的账号提权为管理员,进而控制接管网站。

WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响插图

▲ 图源 Wordfence

据悉,该插件存在编号为 CVE-2023-3460 的重大漏洞,风险评分为 9.8,黑客可利用该漏洞,绕过此插件内置的各项安全措施,修改账号的 wp_capabilities 配置数据,以将黑客的账号设置为管理员角色,进而控制受害网站。

WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响插图1

▲ 图源 Wordfence

插件开发者在 6 月 26 日发布 Ultimate Member 2.6.3 版本进行了该漏洞进行了部分修复,此后在 7 月 1 日发布了 2.6.7 版本,完全修复了该漏洞。

部署该插件的 WordPress 网站超过 20 万个,考虑到这一预装量及信息差导致的插件更新延迟,这些网站依然极容易遭到黑客攻击。

给TA打赏
共{{data.count}}人
人已打赏
大事件

网站有非法广告的小心啦,百度严打落地页色情博彩广告

2023-7-3 23:51:45

大事件

黑客宣称已入侵微软服务器取得 3 千万条用户资料,微软予以否认

2023-7-4 14:51:36

在线客服
主机吧
我们将24小时内回复。
2024-09-10 05:41:07
您好,有任何疑问请与我们联系!
您的工单我们已经收到,我们将会尽快跟您联系!
[QQ客服]
176363189
当幸福来敲门
[小黄]
17307799197
[企业邮箱]
sudu@yunjiasu.cc
取消

选择聊天工具: