WordPress 第三方“用户登录系统”插件曝零日提权漏洞，20 万网站受影响

IT之家7月4日消息，博客平台中非常流行的“用户登录系统”插件。 安全公司透露，该插件存在零日漏洞，黑客可以将自己的账户权限提升为管理员，进而控制并接管网站。

▲ 图片来源

据悉，该插件存在编号为CVE-2023-3460的重大漏洞，风险评分为9.8。 黑客可以利用该漏洞绕过插件内置的各种安全措施，修改账户的配置数据，将黑客的账户设置为管理员角色，进而控制受害网站。

▲ 图网片来源

该插件开发者网于6月26日发布2.6.3版本部分修复该漏洞，随后于7月1日发布2.6.7版本彻底修复该漏洞。

IT之家查后得知，已经有超过20网万个网站部署了该插件。 考虑到预装量以及信息不畅导致的插件更新延迟，这些网站仍然极易受到黑客攻击。

广告声明：本文所包含的外部跳转链接（包括但不限于超链接、二维码、密码等）用于传达更多信息并节省选择时间，结果仅供参考。 IT之家所有文章均包含此声明。