快訊

All in One SEO 是使用最廣泛的 WordPress SEO 插件之一，已安裝在超過 300 萬個網(wǎng)站上。近期它被發(fā)現(xiàn)存在安全漏洞，低權(quán)限用戶可能利用該漏洞訪問網(wǎng)站的全局 AI 訪問令牌，從而濫用插件的人工智能功能，攻擊者甚至可能利用受影響網(wǎng)站的 AIOSEO AI 積分和 AI 功能生成內(nèi)容或消耗積分。 據(jù) Wordfence 稱，該漏洞是由插件使用的特定 REST API 端點缺少…原文連接

多達(dá) 130 萬個網(wǎng)站安裝的3個流行文件管理器插件存在 WordPress 漏洞，可導(dǎo)致任意文件刪除，請盡快更新到最新版，或禁用插件！ 針對三款 WordPress 文件管理插件發(fā)布安全公告，這些插件存在一個漏洞，允許未經(jīng)身份驗證的攻擊者刪除任意文件。這三款插件已安裝在超過 130 萬個網(wǎng)站中。 過時的 elFinder 版本 該漏洞是由 elFinder 文件管理器的舊版本（具體來說是 2.1.…

Automattic 收購 WPAI 預(yù)示著人工智能將在不久的將來融入 WordPress。 Automattic 宣布收購 WPAI，該公司開發(fā)了人工智能功能，使 WordPress 更易于使用且更高效。現(xiàn)有應(yīng)用程序的核心技術(shù)將集成到 Automattic 的新產(chǎn)品中。 WPAI 于 2022 年發(fā)布了其首款產(chǎn)品 CodeWP。CodeWP 是一個面向開發(fā)人員的 AI 集成開發(fā)環(huán)境 (IDE)，…

流行的 WordPress 多語言插件 WPML 已安裝在超過 1,000,000 個網(wǎng)站上，現(xiàn)已修復(fù)遠(yuǎn)程代碼執(zhí)行 (RCE)漏洞 (CVE-2024-6386)，研究人員已將該漏洞歸類為“嚴(yán)重”，CVSS 評分為 9.9。強烈建議用戶將其網(wǎng)站更新至修復(fù)后的版本 WPML 4.6.13。 安全研究員Mat Rollings（stealthcopter）通過 Wordfence Bug Bounty…

LiteSpeed Cache 插件被廣泛用于提高 WordPress 網(wǎng)站的速度和性能，最近它修補了一個嚴(yán)重的未經(jīng)身份驗證的權(quán)限提升漏洞 (CVE-2024-28000)。該插件擁有超過 500 萬個活躍安裝，是許多 WordPress 用戶的關(guān)鍵工具。 Patchstack Alliance 社區(qū)成員John Blackbourn報告了該漏洞，并獲得了 14,400 美元的獎勵，這是 Word…

2024 年 6 月 25 日，Sansec發(fā)布了有關(guān) Polyfill 供應(yīng)鏈攻擊的安全公告文章。 介紹 Polyfill.js 是一個流行的 JavaScript 庫，它為不支持它的舊版瀏覽器提供了現(xiàn)代功能。Polyfill.js 的實現(xiàn)主要以腳本的形式附加到 HTML 標(biāo)記中。這允許代碼運行動態(tài)操作過程以在使用它的網(wǎng)站上執(zhí)行 JS 代碼。此庫實現(xiàn)主要使用托管在*.polyfill.io或特別…原文連接

研究人員已針對 11 個獨立的 Elementor 附加插件發(fā)布了建議，其中包含 15 個漏洞，這些漏洞可能使黑客能夠上傳惡意文件。其中一個被評為高威脅漏洞，因為它可以讓黑客繞過訪問控制、執(zhí)行腳本并獲取敏感數(shù)據(jù)。 兩種不同類型的漏洞 大多數(shù)漏洞都是存儲跨站腳本 (XSS)。其中三個是本地文件包含。 XSS 漏洞是 WordPress 插件和主題中最常見的漏洞形式之一。它們通常是由輸入數(shù)據(jù)保護方式（…

安全研究人員針對 Elementor Website Builder 及其專業(yè)版中發(fā)現(xiàn)的六個獨特 XSS 漏洞發(fā)布了公告，這些漏洞可能允許攻擊者注入惡意腳本。 Elementor 網(wǎng)站構(gòu)建器 Elementor 是領(lǐng)先的網(wǎng)站構(gòu)建平臺，在全球擁有超過 500 萬活躍安裝量，官方 WordPress 存儲庫聲稱它為全球超過 1600 萬個網(wǎng)站提供支持。拖放界面允許任何人快速創(chuàng)建專業(yè)網(wǎng)站，而專業(yè)版則通過…

ThemeFusion 的多用途 WordPress 主題Avada已修復(fù)任意文件上傳漏洞。Avada 是 ThemeForest 最受歡迎的優(yōu)質(zhì)主題之一，銷量接近 95 萬。? Muhammad Zeeshan (Xib3rR4dAr) 在Wordfence的 Bug Bounty Extravaganza期間負(fù)責(zé)任地報告了此漏洞，并為他贏得了 2,751 美元。研究人員將其歸類為“高…

WordPress 的 Better Search Replace 插件中發(fā)現(xiàn)并修補了一個嚴(yán)重嚴(yán)重漏洞，該插件擁有超過 100 萬個活躍網(wǎng)站安裝。成功的攻擊可能導(dǎo)致任意文件刪除、敏感數(shù)據(jù)檢索和代碼執(zhí)行。 漏洞的嚴(yán)重級別 漏洞的嚴(yán)重性按照評分系統(tǒng)進行評分，評級范圍從低到嚴(yán)重： 低0.1-3.9 中4.0-6.9 高7.0-8.9 嚴(yán)重9.0-10.0 Better Search Replace 插件…

廣泛使用的 WordPress 文件管理器插件 File Manager 7.2.1 中已發(fā)現(xiàn)并修補了一個重大安全漏洞，影響了超過 100 萬個網(wǎng)站。該漏洞的嚴(yán)重程度為 8.1 級（滿分 10 級），可能允許未經(jīng)身份驗證的攻擊者訪問敏感信息，包括站點備份中包含的數(shù)據(jù)。 未經(jīng)身份驗證的攻擊漏洞 該漏洞之所以受到高度關(guān)注，是因為黑客不需要登錄憑據(jù)即可發(fā)起攻擊，這就是術(shù)語“未經(jīng)身份驗證”的含義。 在 W…

安裝量超過 200 萬次的高級自定義字段 (ACF) WordPress 插件宣布發(fā)布安全更新版本 6.2.5，該更新修復(fù)了一個漏洞，該漏洞的嚴(yán)重程度尚不清楚，僅發(fā)布了有關(guān)該漏洞的有限詳細(xì)信息。 雖然尚不清楚可能發(fā)生何種類型的攻擊或攻擊者可能造成的損害程度，但 ACF 確實建議該漏洞需要貢獻(xiàn)者級別或更高級別的訪問權(quán)限，這在一定程度上使發(fā)起攻擊變得更加困難。 ACF 6.2.5 可能會引入重大變化 …

（WPScan）

WordPress 貢獻(xiàn)者更新了主題手冊，添加了有關(guān)塊模板的新章節(jié)。本章介紹了 WordPress 塊模板系統(tǒng)的工作原理、如何構(gòu)建自定義模板和部件并將它們包含在主題中。這是重要的文檔，旨在為構(gòu)建第一個塊主題的人員提供學(xué)習(xí)路徑。 Automattic 贊助的開發(fā)者倡導(dǎo)者 Justin Tadlock 在 Twitter 上宣布了這一更新，并指出它還在“全局設(shè)置和樣式”一章中包含了幾個新文檔，用于在t…

Cloudflare 中斷 (BleepingComputer)

Wordfence CLI 2.0.1本周推出了免費漏洞掃描。新的CLI 產(chǎn)品于兩個月前在 WordCamp US 上推出，具有惡意軟件檢測功能，但最新更新引入了最受歡迎的功能 - 大規(guī)模漏洞掃描。 Wordfence 以其 Web 應(yīng)用程序防火墻、惡意軟件掃描程序和登錄安全產(chǎn)品而聞名，該產(chǎn)品被打包為免費插件并安裝在超過 400 萬個網(wǎng)站上。CLI 是首款適用于 WordPress 服務(wù)器的命令行…

谷歌宣布推出新的 . ING 頂級域名，允許用戶注冊表示以 ing 后綴結(jié)尾的動詞、名詞和形容詞的域名。 ING 頂級域名 (TLD) 頂級域名 (TLD) 是域名的最后部分，例如 .com、.org 等。 Google 推出的最新版本是 .ing，它允許發(fā)布商注冊一個針對動作、人物、地點、事物甚至以 ing 結(jié)尾的形容詞的域名。 許多品牌已經(jīng)開始注冊 .ing 域名： Adapt服裝品牌注冊ad…

經(jīng)過多年的過渡，谷歌正式完成向移動優(yōu)先索引的轉(zhuǎn)變。 移動優(yōu)先索引意味著谷歌現(xiàn)在在抓取和索引時優(yōu)先考慮網(wǎng)站的移動版本。 這一變化反映出谷歌近年來對移動用戶的日益關(guān)注。 轉(zhuǎn)換完成后，Google 將減少桌面抓取以節(jié)省資源。 搜索引擎巨頭谷歌周二宣布，經(jīng)過多年的努力，谷歌已完全過渡到移動優(yōu)先索引。這意味著谷歌在抓取頁面和索引內(nèi)容時會優(yōu)先考慮移動版本。 這一轉(zhuǎn)變反映出谷歌自 2015 年開始更加關(guān)注移動設(shè)…

WooCommerce 正在將品牌重新命名?為“Woo”，這是一個更短、更有趣的公司名稱版本，許多客戶已經(jīng)在使用。?Automattic于 2015 年收購了 WooCommerce 以及 WooThemes。該開源商務(wù)平臺目前為超過 440 萬個實時網(wǎng)站提供支持，其中包括排名前 100 萬的在線商店中的 33%。 品牌重塑延伸到 Woo Marketplace、WooExperts 計劃以及 W…

HubSpot 和 TikTok 宣布了一項獨特的整合，以簡化 B2B 潛在客戶開發(fā)，此舉可能會重新定義 B2B 潛在客戶開發(fā)。 這一合作伙伴關(guān)系可幫助企業(yè)將 TikTok 的潛在客戶捕獲到 HubSpot 的 CRM（客戶關(guān)系管理）平臺中。 新機遇中客戶獲取成本不斷上升 鑒于中小型企業(yè) (SMB) 面臨著不斷上升的客戶獲取成本，這種合作伙伴關(guān)系是及時的。 HubSpot 的研究表明，從 2021…

原文連接