Hackernews 编译,转载请注明出处:
一个名为 PHP Everywhere 的 WordPress 插件中披露了一个关键的安全漏洞,这个插件在全世界有超过30,000个网站使用,攻击者可能会利用这个漏洞在受影响的系统上执行任意代码。
PHP Everywhere 用于在 WordPress 安装过程中打开 PHP 代码的开关,使用户能够在内容管理系统的 Pages、 Posts 和 Sidebar 中插入和执行基于 PHP 的代码。
以下这三个问题,在 CVSS 评级系统中评级9.9(满分为10),影响版本2.0.3及之后的版本,如下:
成功利用这三个漏洞可能导致恶意 PHP 代码的执行,这些代码可以被用来实现完全的站点接管。
安全公司 WordPress 表示,他们在1月4日向插件作者 Alexander Fuchs 披露了这个漏洞,随后在2022年1月12日发布了3.0版本的更新,完全删除了漏洞代码。
“这个插件的3.0.0版本的更新是一个突破性的变化,它删除了[php_everywhere]的短代码和小部件,”插件的更新描述页面写道。“从插件设置页面运行升级向导,将旧代码迁移到Gutenberg块。”
值得注意的是,3.0.0版本只通过Block editor编辑器支持 PHP 代码片段,因此仍然依赖 Classic Editor的用户必须卸载该插件,并下载一个替代解决方案来托管自定义 PHP 代码。
消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文
据Vice的报道,美财政部将Ronin网络6.25亿美元加密货币被盗事件归咎于朝鲜黑客组织。据悉,该网络是支持Axie Infinity游戏的区块链。当地时间周四,财政部更新了制裁措施,其中包括收到资金的钱包地址并将其归于Lazarus集团。 开发商集团Sky Mavis拥有的Ronin网络在关于...
在周四的一份网络安全公告中,育碧(Ubisoft)证实该公司在上周遭遇了一起“网络安全事件”。尽管攻击尝试似乎未能造成破坏,但出于安全方面的考虑,育碧还是采取了全公司范围内的密码重置措施,以防发生其它意外。在此期间,育碧暂停了部分服务,但坚称没有玩家数据受到损害。截止发稿时,该公司旗下所有游戏和服...
GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(原本发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。...
包含敏感数据的数千个 Firefox cookie 数据库目前出现在 GitHub 的存储库中,这些数据可能用于劫持经过身份验证的会话。这些 cookies.sqlite 数据库通常位于 Firefox 配置文件文件夹中。它们用于在浏览会话之间存储 cookie。现在可以通过使用特定查询参数搜索 G...
为应对近年来不断增长的勒索软件攻击,越来越多的企业 IT 高管和员工,已经收到了专业人士的相关安全建议。Hitachi ID 刚刚公布了针对北美企业的最新调查报告,其中强调了内外部的 IT 安全措施需求。可知有 65% 的受访者表示,他们有被黑客接近,试图引诱他们参与谋划针对自家企业的勒索软件攻击。...
Check Point Research 在近期发布的联发科芯片组的 AI 和音频处理组件中发现了一个漏洞,或被别有用心者利用于本地权限提升攻击。这意味着通过精心设计的代码,第三方应用程序可访问它不该接触到 AI 和音频相关信息 —— 理论上甚至可用于窃听。庆幸的是,该漏洞从未被发现有在野外被利用,...