ZCyberNews
English

#wordpress

12 articles

电子商务、网站托管及出版行业面临来自一组WordPress漏洞的更高风险,相关文章于2026年4月13日至5月19日期间共发布13篇。该档案涵盖四个严重级别、五个高级别及四个中等级别问题,其中包括CVE-2026-4883和CVE-2026-6433(两者CVSS评分均为9.8),以及三个2021年的中等级别CVE:CVE-2021-47926、CVE-2021-47927和CVE-2021-47929。这些漏洞影响全球范围内的技术与数字媒体组织,严重程度分布为四个严重、五个中等级别及四个高级别。

CVE-2026-4883: Piotnet Forms 插件通过 Phar 上传实现 RCECRITICAL
漏洞

CVE-2026-4883: Piotnet Forms 插件通过 Phar 上传实现 RCE

CVE-2026-4883 (CVSS 9.8) 在 Piotnet Forms ≤2.1.40 中允许未经身份验证的攻击者通过不完整的扩展黑名单上传 .phar 或 .phtml 文件,从而实现远程代码执行。

CVE-2026-4883
6 分钟阅读
Cookie Law Bar 1.2.1 存储型 XSS 使 Cookie 被盗MEDIUM
漏洞

Cookie Law Bar 1.2.1 存储型 XSS 使 Cookie 被盗

CVE-2021-47957 (CVSS 6.4) 在 Cookie Law Bar 1.2.1 中允许经过身份验证的攻击者通过 Bar Message 字段注入持久性脚本,影响所有 WordPress 网站访问者。

CVE-2021-47957
5 分钟阅读
Avada Builder WordPress 插件漏洞暴露网站凭证HIGH
漏洞

Avada Builder WordPress 插件漏洞暴露网站凭证

Avada Builder(超过100万安装量)中的 CVE-2026-4782 和 CVE-2026-4798 允许攻击者读取 wp-config.php 并提取数据库哈希值。请更新至版本 3.15.3。

CVE-2026-4782CVE-2026-4798
6 分钟阅读
自定义 css-js-php WordPress 插件 SQLi 导致 RCE (CVE-2026-6433)CRITICAL
漏洞

自定义 css-js-php WordPress 插件 SQLi 导致 RCE (CVE-2026-6433)

CVE-2026-6433: Custom css-js-php 插件 ≤2.0.7 中存在未经认证的 SQL 注入漏洞,允许攻击者通过 eval() 执行任意 PHP 代码。目前没有补丁可用。

CVE-2026-6433
5 分钟阅读
三个WordPress插件携带存储型XSS漏洞(CVE-2021-47926-929)MEDIUM
漏洞

三个WordPress插件携带存储型XSS漏洞(CVE-2021-47926-929)

CVE-2021-47926、CVE-2021-47927和CVE-2021-47929每个都携带一个CVSS 6.4存储型XSS在Filterable Portfolio Gallery、WP Symposium Pro和Contact Form to Email — 经过身份验证的...

CVE-2021-47929CVE-2021-47927CVE-2021-47926
6 分钟阅读
WordPress 3dady 统计插件存储型 XSS 允许攻击者劫持会话MEDIUM
漏洞

WordPress 3dady 统计插件存储型 XSS 允许攻击者劫持会话

CVE-2022-50945 (CVSS 6.4): WordPress 3dady 实时网络统计插件 1.0 中的存储型 XSS 允许经过身份验证的攻击者通过未经过清理的输入字段注入 JavaScript,使得...

CVE-2022-50945
5 分钟阅读
WordPress Curtain 插件 CSRF 允许攻击者切换维护模式MEDIUM
漏洞

WordPress Curtain 插件 CSRF 允许攻击者切换维护模式

CVE-2022-50955: WordPress Curtain 1.0.2 CSRF 漏洞允许攻击者通过伪造请求在没有 nonce 验证的情况下欺骗管理员切换网站维护模式。

CVE-2022-50955
5 分钟阅读
WordPress GetPaid 插件 HTML 注入漏洞 CVE-2021-47948MEDIUM
漏洞

WordPress GetPaid 插件 HTML 注入漏洞 CVE-2021-47948

CVE-2021-47948 (CVSS 5.4): 经过身份验证的攻击者可以通过 GetPaid 2.4.6 中的帮助文本字段注入任意 HTML,从而在支付表单上启用存储型 XSS 攻击。

CVE-2021-47948
5 分钟阅读
EssentialPlugin WordPress Suite 被入侵部署后门影响数千网站HIGH
恶意软件

EssentialPlugin WordPress Suite 被入侵部署后门影响数千网站

包含超过30个流行WordPress插件的EssentialPlugin套件已被入侵,以注入后门,使攻击者能够获得对数千个网站的管理员访问权限。供应链攻击正在被积极利用。

7 分钟阅读
WordPress 插件供应链攻击在8个月休眠后部署后门HIGH
威胁情报

WordPress 插件供应链攻击在8个月休眠后部署后门

一个威胁行为者购买了合法的WordPress插件业务,并在更新中隐藏了一个后门长达八个月,然后激活它,在一个复杂的供应链攻击中,数千个站点被泄露。

7 分钟阅读
WordPress插件严重漏洞允许未经认证的管理员接管CRITICAL
漏洞

WordPress插件严重漏洞允许未经认证的管理员接管

User Registration & Membership WordPress插件中存在一个严重漏洞(CVE-2026-1492),允许未经认证的攻击者绕过登录并获得完整的管理员访问权限,影响数千个站点。

CVE-2026-1492
5 分钟阅读
被植入后门的Smart Slider 3 Pro更新通过被入侵的插件服务器部署HIGH
威胁情报

被植入后门的Smart Slider 3 Pro更新通过被入侵的插件服务器部署

未知的威胁行为者入侵了Smart Slider 3 Pro WordPress插件的更新基础设施,向用户推送了一个被植入后门的版本(3.5.1.35)。这次攻击利用供应链入侵来获得管理权限。

6 分钟阅读

订阅更新

将最新的网络安全资讯直接发送到您的邮箱。