WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响

35小吃技术网 推荐阅读 2023年09月25日22时19分44秒 191 0

IT之家7月4日消息,博客平台中非常流行的“用户登录系统”插件。 安全公司透露,该插件存在零日漏洞,黑客可以将自己的账户权限提升为管理员,进而控制并接管网站。

▲ 图片来源

据悉,该插件存在编号为CVE-2023-3460的重大漏洞,风险评分为9.8。 黑客可以利用该漏洞绕过插件内置的各种安全措施,修改账户的配置数据,将黑客的账户设置为管理员角色,进而控制受害网站。

WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响-第1张图片

▲ 图网片来源

该插件开发者网于6月26日发布2.6.3版本部分修复该漏洞,随后于7月1日发布2.6.7版本彻底修复该漏洞。

IT之家查后得知,已经有超过20网万个网站部署了该插件。 考虑到预装量以及信息不畅导致的插件更新延迟,这些网站仍然极易受到黑客攻击。

WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响-第2张图片

广告声明:本文所包含的外部跳转链接(包括但不限于超链接、二维码、密码等)用于传达更多信息并节省选择时间,结果仅供参考。 IT之家所有文章均包含此声明。