WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响
IT之家7月4日消息,博客平台中非常流行的“用户登录系统”插件。 安全公司透露,该插件存在零日漏洞,黑客可以将自己的账户权限提升为管理员,进而控制并接管网站。
▲ 图片来源
据悉,该插件存在编号为CVE-2023-3460的重大漏洞,风险评分为9.8。 黑客可以利用该漏洞绕过插件内置的各种安全措施,修改账户的配置数据,将黑客的账户设置为管理员角色,进而控制受害网站。
▲ 图网片来源
该插件开发者网于6月26日发布2.6.3版本部分修复该漏洞,随后于7月1日发布2.6.7版本彻底修复该漏洞。
IT之家查后得知,已经有超过20网万个网站部署了该插件。 考虑到预装量以及信息不畅导致的插件更新延迟,这些网站仍然极易受到黑客攻击。
广告声明:本文所包含的外部跳转链接(包括但不限于超链接、二维码、密码等)用于传达更多信息并节省选择时间,结果仅供参考。 IT之家所有文章均包含此声明。