一加Ace2 Pro官宣:普及16G內存 引領24G
一加官方今天繼續為本月發布的新機一加Ace2 Pro帶來預熱,公布了內存方面的信息。“淘汰 8GB ,12GB 起步,16GB 普及,24GB 引領,還有呢?#一加Ace2Pro#,2023 年 8 月,敬請期待。”同時
3 月 2 日消息,據外媒 Wordfence 報道,安全人員Arkadiusz Hydzik 向其報告一款名為 Everest Forms 的 WordPress 插件存在嚴重漏洞 CVE-2025-1128,黑客可利用漏洞將任意文件上傳至 WordPress 網站,從而實現遠程執行任意代碼。
據悉,這款 Everest Forms 插件主要為網站管理員提供創建表單、問卷、投票等功能。目前 Wordfence 已將所有信息提交給 Everest Forms 開發者,目前相應插件已發布 3.0.9.5 版本補丁修復相應Bug,而安全人員 Arkadiusz Hydzik 也獲得了 4290 美元(IT酷哥備注:當前約 31274 元人民幣)的漏洞獎勵。
IT酷哥參考報告獲悉,這一 CVE-2025-1128 漏洞的 CVSS 風險評分高達 9.8 分(滿分 10 分),3.0.9.5 前所有版本的 Everest Forms 均存在這一漏洞,目前部署該插件的網站“多達 10 萬家”。
針對該漏洞產生的原因,Wordfence 漏洞研究員 István Márton 指出,問題在于 EVF_Form_Fields_Upload 這個類缺乏對文件類型和路徑的驗證,導致 WordPress 網站不僅能上傳任意文件,還可能被黑客隨意讀取或刪除任何數據;若黑客針對 wp-config.php 下手,就有可能控制整個網站。
由于 EVF_Form_Fields_Upload 中的方法 format () 對文件類型或后綴名沒有進行檢查,黑客可直接將包含惡意 PHP 代碼的 CSV 或 TXT 文本文件重命名為 PHP 文件并上傳,而 WordPress 網站會自動將這些文件移動到任何人均可公開訪問的上傳目錄,這樣黑客便可在未經過身份驗證的情況下上傳惡意 PHP 代碼,進而觸發漏洞在服務器上遠程執行任意代碼。
本文鏈接:http://www.www897cc.com/showinfo-26-135136-0.htmlWordPress 第三方表單插件 Everest Forms 曝遠程代碼執行漏洞,10 萬網站受影響
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
Copyright ? 2016-2023 天津谷騏科技有限公司 版權所有 sitemap.xml
違法及侵權請聯系:2376512515@qq.com 津ICP備18001702號
津公網安備 12010102000574號