1.wordpress网站被攻击

最近在流行的WordPress插件中发现了一个新的危险漏洞Wordfence 的网络安全研究人员发现了Elementor插件中的一个漏洞,该漏洞允许任何经过身份验证的用户上传任意 PHP 代码Elementor 是最受欢迎的 WordPress 插件之一,安装在超过 500 万个网站上。

2.wordpress站点遇到致命错误

该插件最近升级到版本 3.6.0,其中引入了一个新的 Onboarding 模块,其目标是简化插件的初始设置然而,研究人员发现该模块使用一种“不寻常”的方法来注册 AJAX 操作,而没有进行能力检查执行恶意代码

3.wordpress入侵

“经过身份验证的用户可以通过多种方式获取 Ajax::NONCE_KEY,但最简单的方法之一是因此,任何登录用户都可以使用任何入职功能话虽如此,例如,攻击者可以创建一个恶意的“Elementor Pro”插件 zip,并使用载入功能来安装它。

4.Wordpress错误

然后,该站点将执行插件中存在的任何代码,包括旨在接管该站点或访问服务器上的其他资源的代码添加了这些功能也可以用来完全破坏网站好消息是该漏洞在 3.6.0 之前的任何 Elementor 版本中都不存在,并且该漏洞的补丁已经可用。

5.WordPress › 错误

4 月 12 日,团队发布了 3.6.3插件版本,Wordfence 敦促所有 Elementor 用户尽快升级他们的插件作为 WordPress 最受欢迎的插件之一,Elementor 通常是漏洞猎人和威胁参与者的目标。

6.wordpress插件漏洞

2 月初,网络安全研究员 Wai Yan Muo Thet 在 Elementor 插件的 Essential Addons 中发现了一个漏洞——这是一个严重的远程代码执行 (RCE) 漏洞,允许潜在的恶意行为者执行本地文件包含攻击。

7.wordpress暴力破解

举报/反馈