但不用担心。开发人员已经通过更新修复了这些问题。您所要做的就是检查是否运行了最新版本的插件,并在必要时进行更新。
建议阅读
了解 22 种保护 WordPress 网站安全的方法,以防止漏洞利用。
轻松数字下载权限升级
CVSS 评分:9.8(严重漏洞)
2023 年 4 月下旬,Easy Digital Downloads 插件中发现了一个权限提升漏洞,该漏洞允许用户(无论其角色如何)运行带有edd_前缀的任何功能。
任何恶意用户只要知道用户名,就可以重置任何用户的密码,包括管理员,从而接管网站。
鉴于Easy Digital Downloads是销售数字商品最受欢迎的电子商务插件之一,此类漏洞可能会造成很大的损害。
幸运的是,修复此问题的补丁版本 3.1.1.4.2 已于本月初发布。如果您仍在使用旧版本,我们强烈建议您尽快更新。
权限升级的必备附加组件
CVSS 评分:9.8(严重漏洞)
Essential Addons for Elementor 插件中也发现了类似的权限提升漏洞。由于密码重置功能直接更改用户密码而不是验证重置密钥,因此只要攻击者知道用户名,就可以重置任何用户的密码。
与 Easy Digital Downloads 漏洞一样,攻击者可以重置管 越南手机号码 理员密码并接管网站。更糟糕的是,超过 100 万个网站安装了此插件,而 Patchstack 数据库显示攻击者已经利用了此漏洞。
该漏洞影响版本 5.4.0 至 5.7.1。此问题的补丁已在版本 5.7.2 中发布,因此如果您使用此插件,请确保安装此版本或更高版本。
LearnDash SQL 注入漏洞
CVSS 评分:8.5(高严重性)
流行的 WordPress LMS 插件LearnDash被曝出SQL 注入漏洞。此类安全问题允许恶意用户访问数据库和敏感信息,包括客户数据。
因此,这种漏洞对企业来说极其有害,尤其是因为 LearnDash 最有可能被在线课程网站使用。
此问题影响了 LearnDash 4.5.3 或更低版本。如果 出 Manus AI 与更广泛的人 您在网站上使用 LearnDash,请更新至 4.5.3.1 或更高版本以消除风险。
高级自定义字段漏洞
CVSS 评分:7.1(高严重性)
高级自定义字段(ACF) 免费版和付费版存在跨站 沙特阿拉伯电话号码 点脚本 (XSS) 漏洞。如果您不熟悉,XSS 允许攻击者注入恶意代码或脚本。它可能导致各种后果。
Patchstack 报告显示,该漏洞可能导致敏感数据至关重要的是这个 被盗和用户权限提升。尽管 ACF 是最受欢迎的自定义字段插件之一,安装量超过 200 万次,但 Patchstack 声称尚未检测到任何漏洞。
该漏洞影响6.1.5或更低版本,建议免费和付费用户更新至6.1.6版本。