黑客正在利用由ThemeREX制造的WordPress插件中的0day漏洞,攻击已于2月18日开始。根据WordPress安全公司的说法,该插件可通过设置WordPress REST-API端点来工作,但不会检查发送到REST API的命令是否来自授权用户(即网站所有者)。这意味着任何访客都可以执行远程代码,即使未经身份验证的人也可以。
黑客正在利用由ThemeREX制造的WordPress插件中的0day漏洞,攻击已于2月18日开始。根据WordPress安全公司的说法,该插件可通过设置WordPress REST-API端点来工作,但不会检查发送到REST API的命令是否来自授权用户(即网站所有者)。这意味着任何访客都可以执行远程代码,即使未经身份验证的人也可以。