WordPress网站安全警报：超过三万用户面临风险

关键要点

• 超过30,000个使用miniOrange的社交登录和注册插件的WordPress网站存在严重的身份验证绕过漏洞（CVE-2023-2982）。
• 漏洞允许未验证的攻击者访问任何帐户，甚至包括站点管理帐户。
• 该漏洞源于用于保护社交媒体登录数据的硬编码加密密钥。
• 所有受影响的插件版本已于6月14日发布了修复补丁。

最近的安全报告显示，超过30,000个 使用 miniOrange 的 社交登录和注册插件 的 WordPress
网站可能面临重大风险。根据，这项 CVE-2023-2982
漏洞使得一名未身份验证的攻击者能够获取任何账号的访问权限，甚至包括负责管理网站的账户。如果攻击者能够获知或找到相关的电子邮件地址，就可以轻松地访问这些账户。Wordfence的研究员 Istvan Marton 提到，此漏洞源于一个硬编码的加密密钥，设计用于保护社交媒体登录相关数据。

针对这一漏洞的修复补丁已于 6月14日 发布，适用于所有插件版本。此外，在这一漏洞被报告之前，其他一些 WordPress 插件漏洞
也引起了关注，其中包括 LearnDash LMS 插件 中的高危漏洞（CVE-2023-3105）和 UpdraftPlus 插件
中的跨站请求伪造漏洞（CVE-2023-32960）。这两个漏洞也已经得到解决。

漏洞名称 | 漏洞编号 | 影响插件 | 修复状态
—|—|—|—
身份验证绕过漏洞 | CVE-2023-2982 | miniOrange社交登录插件 | 已修复
LearnDash高危漏洞 | CVE-2023-3105 | LearnDash插件 | 已修复
跨站请求伪造漏洞 | CVE-2023-32960 | UpdraftPlus插件 | 已修复

该事件提醒WordPress用户及时更新插件，以防止潜在的安全威胁。保持系统和插件的最新版本，定期检查安全公告，是保护用户帐户安全的重要措施。有关WordPress安全的更多信息和资源，请参考。