如果您的WordPress网站正在运行现代事件日历插件,请确保立即更新,因为它带有高度漏洞,可以滥用以进行完整的网站收购。更糟糕的是,研究人员说黑客已经在滥用野外的缺陷。
网络安全研究人员Friderika Baranyai在2024年5月下旬首次在Wordfence bug赏金盛会期间发现了这个问题。它被描述为缺少的文件类型验证错误,现在被跟踪为CVE-2024-5441。它的严重程度得分为8.8(高)。
正如WordPress安全组WordFence所解释的那样,该插件在&lsquo&rsquo&rsquo’中缺少文件类型验证。功能,人们可以使用这些功能上传并为事件设置特色图像。由于插件无法检查哪些文件正在上传,因此恶意演员也可以推动有害的.php文件,这可能会导致完成站点收购。任何身份验证的用户,包括订户和注册成员,都可以利用该缺陷。
你可能喜欢
另一个严重的WordPress插件漏洞可能会使40,000个网站处于攻击风险
这个顶级WordPress插件可能会隐藏令人担忧的安全漏洞,因此请在警卫上
WordPress插件Auth旁路几乎在披露后立即被利用
出售数据
BleepingComputer报告声称,当前使用现代事件日历,超过150,000个WordPress网站,这意味着攻击表面相当大。
据说该插件的所有版本都易受伤害,建议用户至少将其插件更新为7.12.0版。Wordfence表示,它已经在观察到试图滥用缺陷的黑客,因为它阻止了100多次尝试。
WordPress是世界上最受欢迎的网站构建器,目前为Internet上所有网站的几乎一半提供动力。因此,它是网络犯罪分子的流行目标,但通常被认为是安全且难以破坏的目标。但是,WordPress还拥有一个庞大的在线商店,用于主题和附加组件,分为免费赠品和商业产品。
商业产品也相对安全,因为他们有一个专门的团队,致力于改进和推动更新。但是,免费产品通常是由独奏开发商或小型团队进行的激情项目,有时不会更新和维护,这变成了威胁参与者的主要目标。
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有首选,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间。
Techradar Pro的更多信息
主要插件hackhere列出了当今最好的防火墙列表之后,成千上万的WordPress网站面临恶意软件感染,这是目前最好的端点保护工具
