研究人员发现 WordPress 插件漏洞被积极利用

2024年5月30日新闻编辑室WordPress / 网站安全

网络安全研究人员警告称，WordPress 插件中的多个高严重性安全漏洞正被威胁行为者积极利用，以创建恶意管理员帐户并进行后续利用。

Fastly 研究人员 Simran Khalsa、Xavier Stevens 和 Matthew Mathur 表示：“这些漏洞存在于各种 WordPress 插件中，由于输入清理和输出转义不足，容易受到未经身份验证的存储型跨站点脚本 (XSS) 攻击，从而使攻击者能够注入恶意脚本。” 说。

所涉及的安全漏洞如下：

• CVE-2023-6961 （CVSS 评分：7.2）- WP Meta SEO <= 4.5.12 中未经身份验证的存储型跨站脚本
• CVE-2023-40000 （CVSS 评分：8.3）- LiteSpeed Cache 中未经身份验证的存储跨站点脚本 <= 5.7
• CVE-2024-2194 （CVSS 评分：7.2）- WP 统计中未经身份验证的存储型跨站点脚本 <= 14.5

利用该漏洞的攻击链包括注入指向托管在外部域上的混淆 JavaScript 文件的有效负载，该文件负责创建新的管理员帐户、插入后门并设置跟踪脚本。

PHP 后门被注入到插件和主题文件中，而跟踪脚本则被设计用于向远程服务器发送包含 HTTP 主机信息的 HTTP GET 请求（“ur.mystiqueapi[.]com/?ur”）。

Fastly 表示，它检测到了相当一部分来自与自治系统 (AS) IP Volume Inc. 相关联的 IP 地址的攻击尝试。AS202425)，其中很大一部分来自荷兰。

值得注意的是，WordPress 安全公司 WPScan 此前曾披露过类似的攻击行动，针对 CVE-2023-40000 漏洞，在易受攻击的网站上创建恶意管理员账户。

为了减轻此类攻击带来的风险，建议 WordPress 网站所有者检查其安装的插件、应用最新更新，并审核网站是否存在恶意软件的迹象或可疑管理员用户。