WordPress网站安全警报:超过三万用户面临风险
关键要点
超过30000个使用miniOrange的社交登录和注册插件的WordPress网站存在严重的身份验证绕过漏洞CVE20232982。漏洞允许未验证的攻击者访问任何帐户,甚至包括站点管理帐户。该漏洞源于用于保护社交媒体登录数据的硬编码加密密钥。所有受影响的插件版本已于6月14日发布了修复补丁。最近的安全报告显示,超过30000个使用 miniOrange 的 社交登录和注册插件 的 WordPress 网站可能面临重大风险。根据The Hacker News,这项 CVE20232982 漏洞使得一名未身份验证的攻击者能够获取任何账号的访问权限,甚至包括负责管理网站的账户。如果攻击者能够获知或找到相关的电子邮件地址,就可以轻松地访问这些账户。Wordfence 的研究员 Istvan Marton 提到,此漏洞源于一个硬编码的加密密钥,设计用于保护社交媒体登录相关数据。
小牛加速器官网网址针对这一漏洞的修复补丁已于 6月14日 发布,适用于所有插件版本。此外,在这一漏洞被报告之前,其他一些 WordPress 插件漏洞 也引起了关注,其中包括 LearnDash LMS 插件 中的高危漏洞CVE20233105和 UpdraftPlus 插件 中的跨站请求伪造漏洞CVE202332960。这两个漏洞也已经得到解决。
漏洞名称漏洞编号影响插件修复状态身份验证绕过漏洞CVE20232982miniOrange社交登录插件已修复LearnDash高危漏洞CVE20233105LearnDash插件已修复跨站请求伪造漏洞CVE202332960UpdraftPlus插件已修复该事件提醒WordPress用户及时更新插件,以防止潜在的安全威胁。保持系统和插件的最新版本,定期检查安全公告,是保护用户帐户安全的重要措施。有关WordPress安全的更多信息和资源,请参考WordPress安全指南。
