提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

WordPress文件管理器插件的开发人员已经修补了一个被积极利用的安全问题，允许整个网站被劫持。

根据Sucuri WordPress安全团队的说法，该软件的6.4版中出现了漏洞，，它被用作替代方案在管理文件传输、复制、删除和上载时使用FTP。

文件管理器占据了700000个活动安装。

在5月5日发布的6.4版中，一个文件在用于开发和测试的插件。但是，重命名的文件不是作为本地更改保留的，而是意外地添加到项目中。

另请参见：KingComposer修补了影响100的XSS缺陷，000个WordPress网站

相关文件由第三方依赖elFinder提取并用作代码参考。添加到文件的扩展名，connector的重命名-最小.php-距离连接器-最小.php，只是一个小小的调整，但足以触发流行插件中的一个严重漏洞。

ElFinder的脚本作为文件管理器，授予用户修改、上载和删除文件的特权。由于系统注重易用性，要设置elFinder文件管理器，只需将文件的扩展名从.php dist更改为.php，就打开了攻击的通道。

使用该文件作为参考可能有助于团队在本地测试功能，研究人员说，在公共构建中保留这样一个脚本（故意设计为不检查访问权限）会导致“如果此文件保留在部署中，则会导致灾难性的漏洞。”

“此更改允许任何未经身份验证的用户直接访问此文件并对库执行任意命令，包括上传和修改文件，最终使网站容易被完全接管，”Sucuri说。

版本6.9中包含的解决方案非常简单：只需删除文件（它从来不是插件功能的一部分）和其他未使用的.php dist文件。

CNET:上诉法院裁定，美国国家安全局的批量手机数据收集是非法的

然而，在文件被删除前一周，代码库GitHub上发布了概念证明（PoC）代码，导致了6.9版之前的网站遭到攻击浪潮Sucuri说这次攻击很快得到了关注。第一次攻击发生在8月31日，也就是文件管理器的固定版本发布的前一天。这一速度上升到大约每小时1500次攻击，一天之后，这一数字增加到平均每60分钟25000次攻击。到9月2日，该小组每小时大约发生10000次攻击。

Sucuri总共跟踪了“来自试图利用它的恶意参与者的数十万个请求。”

TechRepublic:每个月面临近1200次网络钓鱼攻击的组织

，而在撰写本文时，该漏洞已得到解决，仅6.8%的WordPress网站已更新到插件的新补丁版本，这使得许多网站面临妥协的风险，已在KingComposer，一个用于拖放页面创建的WordPress插件。错误，CVE-2020-15299是由休眠的Ajax函数引起的，该函数可能被滥用来部署恶意负载。

有什么提示吗？通过WhatsApp | Signal（电话：+447713 025 499）与您安全联系，或访问Keybase:charlie0

高通公司带来第2代Snapdragon 8cx首次亮相，5G到Always Connected PC

Walmart以低廉的订阅服务和天然气交易与Amazon Prime竞争，您同意 2023-03-22 10:04:19