WordPress插件漏洞使“200万个网站”面临网络攻击的风险
据报道,由于 WordPress 的“高级自定义字段”插件中的一个漏洞导致超过200万用户面临网络攻击的风险。
据theregister报道,Patchstack 研究员 Rafie Muhammad 警告称, Advanced Custom Fields 和 Advanced Custom Fields Pro 版本的活跃安装量超过200万,这些插件用于让网站运营商更好地控制他们的内容和数据,例如编辑屏幕和自定义字段数据。

Patchstack 研究员 Rafie Muhammad于2月5日发现了该漏洞,并将其报告给 Advanced Custom Fields 的供应商 Delicious Brains,该公司去年从开发商 Elliot Condon 手中接管了该软件。
Delicious Brains 发布插件补丁版本一个月后,Patchstack 于5月5日发布了该漏洞的详细信息。建议用户至少将插件更新到6.1.6版本。
该漏洞被追踪为CVE-2023-30777CVSS ,严重性评分为6.1(满分10),使网站容易受到反射 XSS 攻击,这些攻击涉及不法分子将恶意代码注入网页。然后,代码会“反射”回来并在访问者的浏览器中执行。
也就是漏洞允许某人在另一个人的页面视图中运行 JavaScript,从而允许攻击者执行诸如从页面窃取信息、以用户身份执行操作等操作。如果访问者是登录的管理用户,那将是一个大问题,因为他们的帐户可能会被劫持,导致网站被不法分子操控。
Patchstack在其报告中写道:“这个漏洞允许任何未经认证的用户[窃取]敏感信息,在这种情况下,通过欺骗特权用户访问精心制作的URL路径,在WordPress网站上提升特权。”该机构补充道,“该漏洞可能会在高级自定义字段插件的默认安装或配置中触发。XSS也只能由有权访问高级自定义字段插件的登录用户触发。”
Siri 们的“智障”终于有救了?
“今天北京比上海热吗?”摸着良心讲,问这个问题的时候,并没有想刁难Siri。但是Siri它就是回答不上来。“今天似乎是晴天。”Siri天真(但驴唇不对马嘴)地回答,配以用户所在的上海的天气卡片。用同样的问题去问必应机器人,它虽然没有直接回答是或否,但至少给出了两地的气温数据。站长网2023-05-03 10:43:100000微软未来十年人工智能领域策略:从 ChatGPT 驱动的搜索引擎到 Azure 上的 OpenAI
微软于1975年成立,自1986年上市以来,投资者一直将其视为技术行业的领导者。微软目前市值达到2.3万亿美元,是全球第二大公司,而这并非偶然。凭借对创新的持续关注,微软的Windows操作系统、文字处理软件、Xbox游戏生态系统和Azure云服务平台成为该公司数十年来不断发展的标志。站长网2023-05-16 16:47:200000梅西球迷球鞋搜索量暴涨 网友调侃拥抱”梅西只需258元
梅西的中国之行非常热闹,其中“梅西同款”、“球类运动装备”等在天猫618期间也成为热销商品。在阿迪达斯天猫官方旗舰店,阿根廷“三星“主场球衣的搜索量同比增长了140%,梅西相关的正品足球装备的搜索热度更是爆增100倍,“梅西的冠军T恤“、”梅西新款战靴“在天猫的618销售期间非常受欢迎。站长网2023-06-17 08:34:230000“超强磁场”背后的“超强团队”
【人才故事】光明日报记者杨桐彤光明日报通讯员童文琦你能想象在我们身边有一个地方,它的磁场是周围磁场的60万倍,它的温度比周围温度低两百多摄氏度吗?这个地方就是位于北京市怀柔科学城内的极低温强磁场量子振荡测量实验站。0000生成式 AI 技术可能给企业带来风险 应以负责任方式使用而非盲目追随潮流
根据市场调查机构Gartner研究总监孙鑫,约26%的中国用户已经开始部署生成式AI技术,而6%的用户已成功部署与该技术相关的应用,还有26%的用户正在积极试用。站长网2023-05-23 16:41:110000