公司动态

WP

2025-04-08

WPMembers 插件存在严重安全漏洞,超60000个WordPress站点可能遭到攻击

关键要点

超过 60000 个 WordPress 网站因 WPMembers 插件的漏洞可能受到影响。漏洞编号为 CVE20241852,属于高危跨站脚本 (XSS) 漏洞。攻击者可以利用用户注册功能,注入恶意脚本。Wordfence 建议立即更新至 WPMembers 版本 3493 以修复此漏洞。

根据 SecurityWeek 的报道,超过 60000 个 WordPress 网站因 WPMembers 会员插件的高危跨站脚本漏洞CVE20241852可能受到影响。攻击者可以利用该插件的用户注册功能,创建和截获注册表单,然后修改表单以包含带有恶意负载的 XForwardedFor 头部。

漏洞详解

Wordfence 的警报指出,HTTP 头部的输入未经过滤,攻击者只需输入含有恶意脚本的任何值,这些脚本便会存储在用户个人资料中,并在页面源代码中被执行。这意味着:

“此恶意代码将在管理员的浏览器会话上下文中执行,攻击者可以借此创建恶意用户帐户、将访问该站点的用户重定向到其他恶意站点,并执行其他恶意操作。” Wordfence 研究人员

如何应对

Wordfence 强烈建议所有用户立即更新至 WPMembers 版本 3493,以解决此安全问题。这是维护网站安全的关键步骤。您可以在插件管理页面找到更新选项,确保及时修复。

免费梯子加速器威胁类型影响的 WordPress 网站数量漏洞编号推荐解决方案跨站脚本漏洞 (XSS)超过 60000 个CVE20241852更新至 WPMembers 3493

对于运行 WordPress 的网站管理员来说,及时了解并解决安全漏洞至关重要,这不仅可以保护自己的网站,还能保障用户的安全。如有更多关于此漏洞的信息,请访问 SecurityWeek 以获取最新动态。

WP