每日安全资讯:因不满支持论坛,安全人员连续公布三个 WordPress 插件漏洞 | Linux 中国

2019 年 4 月 18 日 Linux中国
被揭露漏洞的 3 个 WordPress 插件分别是 Social Warfare、Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer。
-- 安华金和

近日,有安全研究人员连续在 Plugin Vulnerabilities 平台上,对外公布了 3 个 WordPress 插件的 0day 漏洞,将 10 万个 WordPress 网站于陷于安全风险中。

相关研究人员在公布这些漏洞时,提到他们只是为了抗议 WordPress 支持论坛版(WordPress Support Forum)的版主行为。只要版主停止不当行为,他们会立即终止对外揭露 0day 漏洞。

被揭露漏洞的 3 个 WordPress 插件分别是 Social Warfare、Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer。其中,Warfare 是个社交网站分享插件,有超过 6 万个 WordPress 网站安装了该插件。研究人员在 3 周前公布了 Social Warfare 的安全漏洞,插件开发人员即时将它修补了。

另外两个插件就没这么幸运了。可用来自动找出相关文章的 Yuzo Related Posts 原本拥有 6 万个安装数量,可自定义主题的 Yellow Pencil Visual Theme Customizer 则有 3 万个安装数量,这两个插件都都惹来了攻击,目前已在 WordPress 插件商店下架,插件开发人员还建议用户应尽快将所安装的版本移除。

据了解,原本安全人员在公开漏洞前,会给开发者一定的缓冲时间。而这次漏洞曝光,研究人员故意不遵循责任揭露,直接对外公开这些 WordPress 插件漏洞。他们声称目的是为了抗议 WordPress 支持论坛版主的不当行为。这些版主明知有些热门插件含有漏洞,却未通知相关的开发人员。版主们甚至会联手隐瞒插件的安全问题,为了推广特定安全服务而阻拦用户得到其它帮助。

这次漏洞接连曝光事件,看起来很像是 Plugin Vulnerabilities 平台与 WordPress 支持论坛之间的恩怨而引发的。前者不仅是为 WordPress 打造,定位更是专门对抗 WordPress 插件漏洞的服务。但不论如何,原本应该是维护 WordPress 安全的事件,目前却已危及到了众多 WordPress 网站的安全。

来源:开源中国

更多资讯

阿桑奇被捕后 厄瓜多尔政府和机构网站遭到 4000 万次攻击

由于厄瓜多尔现任总统莫雷诺撤回了外交庇护,维基解密创始人朱利安·阿桑奇Julian Assange藏身厄瓜多尔驻英大使馆将近7年之后被抓。在接受法新社采访的时候, 厄瓜多资讯与通讯科技部副部长 Patricio Real 表示在阿桑奇遭到逮捕之后,已经受到了大规模针对该国的网络攻击。

来源:cnBeta.COM

详情:http://t.cn/EXYhKm8 

本月补丁星期二活动已修复卡巴斯基发现的严重零日漏洞

在 4 月 9 日发布的补丁星期二活动日中,微软修复了卡巴斯基发现的一个零日漏洞,如果被黑客控制可以获得控制系统的完整权限。该漏洞编号为 CVE-2019-0859,是已经被黑客利用的 Win32k 提权漏洞,微软已经确认新旧 Windows 系统均受到影响。Windows 10十月更新(Version 1809)同样受到影响。

来源:cnBeta.COM

详情:http://t.cn/EXYhOFM 

监控拍下欧洲犯罪分子用挖掘机盗取 ATM 机

原来为了现金,人们真的可以不顾一切、铤而走险。4 月 15 日晚,北爱尔兰再次发生一起开挖掘机砸抢 ATM 取款机的事件,从 3 月至今,这已经是第 9 起。凿出 ATM 机后,犯罪分子用反铲将其放到实现准备好的卡车上,然后逃离,将挖掘机丢弃在现场。当然,实际上,挖掘机也是偷来的。

来源:快科技

详情:http://t.cn/EXYhQDE 

俄罗斯:9 个月内 FB 和 Twitter 必须遵守数据保护法

据路透社报道,俄罗斯通信监管机构“联邦通信、信息技术与大众传媒监督局”局长亚历山大·扎罗夫Alexander Zharov今日称,Twitter 和 Facebook 还有 9 个月的时间来遵守俄罗斯的数据保护法。

来源:新浪科技

详情:http://t.cn/EXYhBoV 

(信息来源于网络,安华金和搜集整理)

登录查看更多
0

相关内容

WordPress 插件可以是一个程序,也可以是 PHP 语言编写的一个或一组函数。它可以通过插件 API 提供的一系列方法和接口,来向 WordPress 博客中增加一些特定的功能或服务,并且让它们看上去就像是 WordPress 原有的功能一样。
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
【MIT】Yufei Zhao《图论与加法组合学》,177页pdf
专知会员服务
49+阅读 · 2020年4月27日
【北京大学】面向5G的命名数据网络物联网研究综述
专知会员服务
36+阅读 · 2020年4月26日
【微众银行】联邦学习白皮书_v2.0,48页pdf,
专知会员服务
165+阅读 · 2020年4月26日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
AWVS12 V12.0.190530102 windows正式版完美破解版
黑白之道
29+阅读 · 2019年8月24日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
最新版本开源情报工具和资源手册(一)
黑白之道
9+阅读 · 2019年6月23日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
TensorFlow、Caffe、Torch 三大深度学习框架被存在安全漏洞
Tensor Flow、Caffe、Torch共同之处:敞开的漏洞!
Arxiv
3+阅读 · 2019年9月5日
Mesh R-CNN
Arxiv
4+阅读 · 2019年6月6日
3D-LaneNet: end-to-end 3D multiple lane detection
Arxiv
7+阅读 · 2018年11月26日
VIP会员
Top
微信扫码咨询专知VIP会员