首页 > 其他分享 >WP插件新漏洞使超过 200 万个站点面临网络攻击

WP插件新漏洞使超过 200 万个站点面临网络攻击

时间:2023-05-18 13:56:55浏览次数:45  
标签:200 插件 XSS 攻击 漏洞 2023 CVE 网络攻击

近日,在发现安全漏洞后,敦促 WordPress 高级自定义字段插件的用户更新版本 6.1.6。

该问题的标识符为 CVE-2023-30777,与反映的跨站点脚本 (XSS) 案例有关,该案例可能被滥用以将任意可执行脚本注入其他良性网站。

该插件有免费版和专业版,活跃安装量超过 200 万。该问题于 2023 年 5 月 2 日被发现并报告给维护人员。

国际知名白帽黑客、东方联盟创始人郭盛华透露:“这个漏洞允许任何未经身份验证的用户窃取敏感信息,在这种情况下,通过诱骗特权用户访问精心设计的 URL 路径,在 WordPress 网站上提升权限,反射 XSS攻击通常发生在受害者被诱骗点击通过电子邮件或其他途径发送的虚假链接时,导致恶意代码被发送到易受攻击的网站,从而将攻击反射回用户的浏览器。"

社会工程的这一元素意味着反射型 XSS 的影响范围和规模与存储型 XSS 攻击不同,促使威胁行为者将恶意链接分发给尽可能多的受害者。

“[反射型 XSS 攻击] 通常是传入请求未被充分清理的结果,这允许操纵 Web 应用程序的功能并激活恶意脚本,”郭盛华指出。

值得注意的是,CVE-2023-30777 可以在 Advanced Custom Fields 的默认安装或配置中激活,尽管也可以从有权访问该插件的登录用户那里激活。

随着 Craft CMS 修补了两个中等严重程度的 XSS 漏洞(CVE-2023-30177和CVE-2023-31144),威胁行为者可以利用这些漏洞为恶意负载提供服务。

它还遵循 cPanel 产品中另一个 XSS 漏洞的披露(CVE-2023-29489,CVSS 分数:6.1),可以在没有任何身份验证的情况下被利用来运行任意 JavaScript。

攻击者不仅可以攻击 cPanel 的管理端口,还可以攻击在端口 80 和 443 上运行的应用程序,它可以让对手劫持有效用户的 cPanel 会话。

CVE-2023-30777 受到积极利用

网络安全公司东方联盟上周发布的一份报告中披露,威胁行为者正在积极利用 WordPress 高级自定义字段插件中的跨站点脚本 (XSS) 漏洞作为不分青红皂白扫描活动的一部分。

该公司指出,攻击“在利用 PoC 公开后的 24 小时内”开始,并补充说威胁参与者复制并重复使用了本月早些时候 Patchstack 发布的示例代码。

安全研究人员:“利用新出现的和最近披露的漏洞的比率仍然很高,而且速度越来越快。” “补丁管理是组织安全和风险降低策略的重要组成部分。” (欢迎转载分享)

标签:200,插件,XSS,攻击,漏洞,2023,CVE,网络攻击
From: https://www.cnblogs.com/hacker520/p/17411695.html

相关文章

  • leaflet插件leaflet-graticule经度标签格式化问题
    https://github.com/turban/Leaflet.Graticuleimport"leaflet-graticule";L.graticule().addTo(map);解决办法:import"leaflet-graticule";L.LatLngGraticule.prototype.__format_lng_origin=L.LatLngGraticule.prototype.__format_lng;L.LatLngGra......
  • 华为Atlas 200I DK A2开箱!
    摘要:Atlas200IDKA2是Atlas200DK之后的一款产品,从2022年一直酝酿至今,终于在2023年5月6日-7日昇腾AI开发者峰会2023正式发布。本文分享自华为云社区《首发!华为Atlas200IDKA2开箱!》,作者:张辉。Atlas200IDKA2是Atlas200DK( https://e.huawei.com/cn/products/comput......
  • es笔记四之中文分词插件安装与使用
    本文首发于公众号:Hunter后端原文链接:es笔记四之中文分词插件安装与使用前面我们介绍的操作及演示都是基于英语单词的分词,但我们大部分使用的肯定都是中文,所以如果需要使用分词的操作肯定也是需要使用中分分词。这里我们介绍一下如何安装中文分词插件。在介绍安装之前,我们可以......
  • 西门子1200plc程序实例,TCP/IP及modbus通讯,版本V15,如有需要也可代写程序。
    西门子1200plc程序实例,TCP/IP及modbus通讯,版本V15,如有需要也可代写程序。功能如下:1,西门子1200控制4台步进电机;2,西门子1200与4台MS300变频器modbus485轮询读写参数;3,西门子1200与上位机TCP/IP通讯控制相机拍照,反馈数据;4,设备为多工位联动控制;5,威纶通人机界面多画面切换可以作为参考......
  • SIEMENS/西门子西门子1200plc轴运动控制程序模板 介绍:此
    SIEMENS/西门子西门子1200plc轴运动控制程序模板介绍:此程序是之前给海康威视做的一台装路由器壳子的机器。程序有以下:1):调用轴控制块做的控制3个伺服,2):1个电缸,3):用PUTGET块与上下游plc通讯,4):轴控制块5):气缸报警块6):完整的电路图7):威纶通触摸屏程序8):IO表程序块已经在很多个项......
  • 西门子S7-1200 PID温度控制程序,PID参数经过预 西门子S7-1200 PID温度控制程序,PID参
    西门子S7-1200PID温度控制程序,PID参数经过预西门子S7-1200PID温度控制程序,PID参数经过预调节和精确调节之后得出,程序采用博图V15高级版编写,适合用于不带冷却功能的模具加热生产工艺上,项目上运用已稳定工作多时,带详细注释,可进行二次开发和扩展,也可直接使用!!本程序采用博图V15编......
  • 西门子Smart200 追剪算法程序送对应维纶屏监控程序 这算法是无级调速
    西门子Smart200追剪算法程序送对应维纶屏监控程序这算法是无级调速只是例程,一部PLC就能学习,需要使用理解后改变为自己需要的程序!只要一个PLC就可以运行,触摸屏直接用电脑模拟,如果接上步进伺服也可以直接运行ID:3110683180240276......
  • 西门子PID程序,西门子PLC 1200和多台G120西门子 变频器Modbud RTU通讯,带西门子触摸屏,带
    西门子PID程序,西门子PLC1200和多台G120西门子变频器ModbudRTU通讯,带西门子触摸屏,带变频器参数/Modbus通讯报文详细讲解,PID自写FB块无密码可以直接应用到程序,PID带手动自动功能,可手动调节PID,注释详细,有图纸ID:698656140211742......
  • 西门子S7-1200控制5轴伺服程序案例。 S7-1200控 制5轴伺服程序
    西门子S7-1200控制5轴伺服程序案例。S7-1200控制5轴伺服程序案例。1.PTO伺服轴脉冲定位控制功能应用+速度模式应用+扭矩模式应用。2.程序为结构化编程,每一功能为模块化设计,具有一个项目都有的功能:自动_手动_单步_暂停后原位置继续运行_轴断电保持_报警功能_气缸运行及报警.......
  • 西门子基于RS485通讯恒压供水一拖二S7-200SMART_PLC 程
    西门子基于RS485通讯恒压供水一拖二S7-200SMART_PLC程序样例为一拖二恒压供水,采样S7-200SMART_PLC+smart700触摸屏与ABB变频器MdbusRTU_rs485通讯执行变频器PID实现恒压供水程序为实际项目案例,程序带有注释说明,恒压供水动作说明,ABB变频器参数设置说明,施工用电路图纸。工艺说明:1、......