研究人员最近观察到了一个已知的,显然是固定的脆弱性,在野外滥用,以窃取WordPress网站的登录证书。
插件漏洞的网络安全研究人员是一个监视WordPress插件中缺陷的组织,报告了一个试图利用WP压缩插件中的任意文件查看漏洞的黑客。
WP Compress是一个插件,有望通过压缩网站上的图像来解决缓慢的加载时间。通过改善负载时间,开发人员说,这些站点在搜索引擎排名中的表现将更好。这也可以防止访客离开页面。
你可能喜欢
这个顶级WordPress插件可能会隐藏令人担忧的安全漏洞,因此请在警卫上
另一个严重的WordPress插件漏洞可能会使40,000个网站处于攻击风险
Sonicwall防火墙被担心的网络攻击击中
没有CVE记录
通过滥用漏洞,黑客试图查看WordPress配置文件的内容,这些文件还包含网站的数据库凭据。
一项更深入的调查表明,该脆弱性被追踪为CVE-2023-6699,但记录是空的。在美国国家标准与技术研究院网站上,它说:“尽管CVE或CVE可能已经分配了CVE ID,但如果CVE具有保留状态,则在NVD中将无法使用。”
另一方面,CVE网站说:“该候选人是由一个组织或个人保留的,该组织在宣布新的安全问题时将使用它。当宣布候选人时,将提供该候选人的详细信息。”
插件漏洞进一步解释说,这是有问题的,因为许多IT团队依靠CVE的信息来跟踪漏洞。由于没有提供信息,许多网站就对他们的遗留物的潜在脆弱性处于黑暗之中。
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有首选,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间。
但是,该缺陷显然是在2023年12月13日修复的。使用该插件的漏洞应确保将其更新为6.10.34版本。
研究人员强调:“缺乏及时填写的CVE记录是CVE已知一段时间以来已知的问题,但他们尚未解决。”
Techradar Pro的更多信息
联邦调查局 - 朝鲜拉撒路黑客可能会兑现数百万个被盗比特币的列表,如今最好的防火墙是目前最好的端点保护服务
