洞发布补丁时它只修补了嵌入远程文档和文件时所需的两种操作类型中的一种。这两种操作类型是研究人员表示根据他们检查的恶意文件只修补了而不是这两种文件都包含操作类型。在月初向报告后它被确定为新的并在的月安全公告中进行了修补。迫切需要采取的行动强烈建议客户和用户升级到最新版本的和可在此处找到。网络曝光警报年月日分钟阅读流行的合规性插件中的权限升级缺陷导致大量站点被利用鼓励网站所有。
者和管理员升级到受影响插件的最新版本。之前的后台插件版本容易受到 南非 WhatsApp 号码列表 提权攻击。该攻击不需要身份验证并且报告称攻击者已经利用了多个站点。被利用的站点将其更改为。影响评估截至美国东部时间月日中午经过精心策划的搜索显示大约个站点的已更改为。恶意站点似乎已被关闭但当管理员和用户尝试与他们的站点交互时大多数站点将在管理员尝试编辑时完全无法加载或崩溃。漏洞详细信息受影响的插件通常会处理合规性所需的访问和删除请求但之。
前的此插件版本无法正确清理操作。正因为如此攻击者可以注入任意命令这些命令会被存储直到插件到达其调用为止。流行的插件中的权限升级缺陷已导致大量站点被利用。资料来源。有了这些缺陷攻击者可以获得对站点的管理访问权限并进行直接更改包括上传恶意插件以进行其他攻击。迫切需要采取的行动管理员可以手动编辑站点的数据库表以在受到攻击时修复。记录包含值。管理员可以修改字段中的域。固定后网站应该可以正常加载但我们强烈建议。