WordPress 曝新漏洞，超过200万个网站面临遭受网络攻击！

在发现安全漏洞后，WordPress 紧急敦促高级自定义字段插件的用户更新至版本 6.1.6。 该问题的标识符为 CVE-2023-30777，与反映的跨站点脚本 (XSS) 案例有关，该案例可能被滥用以将任意可执行脚本注入其他良性网站。 该插件有免费版和专业版，活跃安装量超过 200 万。该问题于 2023 年 5 月 2 日被发现并报告给维护人员。 “这个漏洞允许任何未经身份验证的用户窃取敏感信息，在这种情况下，通过诱骗特权用户访问精心设计的 URL 路径，在 WordPress 网站上提升权限，”Patchstack 研究员 Rafie Muhammad说。 反射 XSS攻击通常发生在受害者被诱骗点击通过电子邮件或其他途径发送的虚假链接时，导致恶意代码被发送到易受攻击的网站，从而将攻击反射回用户的浏览器。 社会工程的这一元素意味着反射型 XSS 的影响范围和规模与存储型 XSS 攻击不同，促使威胁行为者将恶意链接分发给尽可能多的受害者。 “[反射型 XSS 攻击] 通常是传入请求未经过充分清理的结果，这允许操纵 Web 应用程序的功能并激活恶意脚本，”Imperv...