WordPress插件曝新漏洞 多于200万个网站受影响

当安全问题被揭露之后，安全人员敦促WordPress高级自定义插件的用户更新版本6.1.6。

该漏洞被标识为 CVE-2023-30777，与反射式跨站点脚本 （XSS） 的情况有关，该漏洞可被滥用向其他良性网站注入任意可执行脚本。

该插件有免费和专业两个版本，有超过两百万的安装。该漏洞于2023年5月2日被发现并报告给维护人员。

反射式XSS攻击通常发生在，受害者被骗点击电子邮件或其他途径发送的假链接，导致恶意代码被发送到易受攻击的网站，该网站将攻击反射到用户的浏览器上。

这种社会工程元素意味着反射式XSS不具有与存储式XSS攻击相同的复盖范围和规模，因此攻击者将恶意链接分发给尽可能多的受害者。

Imperva指出：反射式XSS攻击通常是由于传入的请求没有得到充分的净化，从而允许开发人员操纵虚拟化网络应用程序的功能和自动地激活恶意客户端脚本。

此外，cPanel 产品中还披露了另一个 XSS 漏洞（CVE-2023-29489，CVSS 分数：6.1），该漏洞可以在没有任何身份验证的情况下被利用来运行任意 JavaScript。在发现该漏洞之后，谷歌立即采取了行动，将这个漏洞公布于众，并且在今年早些时候修复了该漏洞。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!