WPMembers 插件存在严重安全漏洞，超60000个WordPress站点可能遭到攻击

关键要点

超过 60000 个 WordPress 网站因 WPMembers 插件的漏洞可能受到影响。漏洞编号为 CVE20241852，属于高危跨站脚本 (XSS) 漏洞。攻击者可以利用用户注册功能，注入恶意脚本。Wordfence 建议立即更新至 WPMembers 版本 3493 以修复此漏洞。

根据 SecurityWeek 的报道，超过 60000 个 WordPress 网站因 WPMembers 会员插件的高危跨站脚本漏洞CVE20241852可能受到影响。攻击者可以利用该插件的用户注册功能，创建和截获注册表单，然后修改表单以包含带有恶意负载的 XForwardedFor 头部。

漏洞详解

Wordfence 的警报指出，HTTP 头部的输入未经过滤，攻击者只需输入含有恶意脚本的任何值，这些脚本便会存储在用户个人资料中，并在页面源代码中被执行。这意味着：

“此恶意代码将在管理员的浏览器会话上下文中执行，攻击者可以借此创建恶意用户帐户、将访问该站点的用户重定向到其他恶意站点，并执行其他恶意操作。” Wordfence 研究人员

如何应对

Wordfence 强烈建议所有用户立即更新至 WPMembers 版本 3493，以解决此安全问题。这是维护网站安全的关键步骤。您可以在插件管理页面找到更新选项，确保及时修复。

免费梯子加速器威胁类型影响的 WordPress 网站数量漏洞编号推荐解决方案跨站脚本漏洞 (XSS)超过 60000 个CVE20241852更新至 WPMembers 3493

对于运行 WordPress 的网站管理员来说，及时了解并解决安全漏洞至关重要，这不仅可以保护自己的网站，还能保障用户的安全。如有更多关于此漏洞的信息，请访问 SecurityWeek 以获取最新动态。