多个严重WordPress插件漏洞(CVE-2026-1743、CVE-2026-1891、CVE-2026-2034)使超过800万网站面临远程代码执行风险。NIS2监管企业面临24小时强制报告要求——这是您的行动计划。
WP Advanced Forms(版本 < 3.4.2)中的严重未授权远程代码执行漏洞允许攻击者执行任意PHP代码。超过300万活跃安装受影响。
ElementorPro Widgets(版本 < 4.1.7)中的SQL注入缺陷允许完整数据库提取。280万网站面临风险。
WooCommerce Payments Gateway(版本 < 6.9.3)中的认证绕过允许提升至管理员权限。250万电商店铺可能受影响。
| CVE | 插件 | CVSS | 活跃安装 | 修补版本 |
|---|---|---|---|---|
| CVE-2026-1743 | WP Advanced Forms | 9.8 | 310万 | 3.4.2 |
| CVE-2026-1891 | ElementorPro Widgets | 9.1 | 280万 | 4.1.7 |
| CVE-2026-2034 | WooCommerce Payments | 9.4 | 250万 | 6.9.3 |
这些漏洞总共影响全球超过800万个WordPress安装。
根据欧盟NIS2指令(指令2022/2555),被归类为基本或重要实体的组织面临严格义务:
NIS2第23条要求在得知重大事件后24小时内提交预警。
完整的事件通知必须在72小时内提交给国家CSIRT。
wp plugin list --status=active保持警惕。— KENSAI安全团队