如果管理员凭据泄露,攻击者可以轻松地通过此功能将基于 PHP 的恶意软件上传到 WordPress 网站。
第二个安全补丁通过面向属性编程(POP)链解决了远程代码执行 (RCE)漏洞。这些不必要的操作可能包括添加或删除内容、更改用户信息,甚至完全控制网站。
这两个漏洞只有在攻击者拥有管理员权限时才可被利用,因此威胁程度较低。但是,如果未经授权的人获得管理员用户的访问权限,则有可能发起成功的攻击。
为了预防针对旧版本网站的攻击,WordPress 团队还将这些更新应用于旧版本,直至4.1版本。
如果您启用次要版本的自动更新,则此 WordPress 更新应会自动安装。如果您不确定,请阅读我们的指南,了解如何检查 WordPress 版本,如果您仍在使用旧版本,请务必立即更新您的 WordPress 网站。
主要插件漏洞发现
WordPress 核心软件并不是 1 月份唯一收到安全修复的软件。根据 Patchstack 数据库,在流行插件上检测到了大量漏洞。我们列出了一些严重程度较高的显著漏洞。如果您正在使用这些插件,请务必更新到最新版本。
人工智能引擎
AI Engine 插件是 WordPress AI 插件的先驱之一,但在 1.9.98 之前的版 阿联酋号码过滤 本中存在一个严重漏洞。此漏洞允许攻击者将任何文件(如恶意软件)上传到网站的服务器,从而破坏或控制您的网站。
更新到1.9.99版本将关闭此安全漏洞,保护您的网站免受恶意上传。
更好的搜索替换
Better Search Replace 插件在 1.4.4 及以下版本中存在安全漏洞,攻击者可以注入有害的 PHP 对象。
这可能会导致严重问题,例如 SQL 注入(攻击者可以操纵您网站的数据库)和任意代码执行(他们可以在您的网站上运行他们选择的任何代码)。如果发生这种情况,您的网站可能会受到未经授权的更改、数据窃取甚至完全接管。
更新到1.4.5版本将修复此漏洞并确保您的网站安全。
学习新闻
LearnPress 是一款广泛使用的在线课程创建插件,其 4.2.5.7 及以下版本存 服务上下 文广告的特点 在安全问题。此问题使攻击者能够执行 SQL 注入和远程代码执行,从而访问网站数据库中的敏感信息并直接在网站上运行有害代码。
令人担忧的是,Patchstack 报告了针对此问题的利用尝试,因此 电报号码 强烈建议您将 LearnPress 更新至版本4.2.5.8。
照片库
照片库插件存在一个称为目录遍历问题的人可以在数据处理的 安全漏洞。这允许攻击者浏览您网站目录中的文件并检查某些文件或文件夹是否存在。