使用 Advanced Custom Fields 插件的 WordPress 用户需要尽快升级。该插件发现了一个漏洞允许跨站脚本攻击。Advanced Custom Fields 是一款非常受欢迎的插件,活跃安装量逾两百万,被网站运营者用于控制内容和数据。Patchstack 研究员 Rafie Muhammad 在 4 月 2 日发现了漏洞,随后报告给了控制该插件的 Delicious Brains。在补丁释出一个月之后的 5 月 5 日,Patchstack 公布了漏洞细节,它推荐用户将插件更新到 v6.1.6 版本。漏洞编号为 CVE-2023-30777,严重性评分 6.1/10。攻击者可以利用该漏洞诱使具有权限用户访问特制 URL 路径而获得高权限,窃取网站敏感信息。
https://www.theregister.com/2023/05/08/wordpress_plugin_vulnerability/
微信扫一扫 
支付宝扫一扫 
