近 600 万个 WordPress 网站可能受到 3 个插件漏洞的影响

我们观察到三个高严重性漏洞，这些漏洞容易受到未经身份验证的跨站点脚本 (XSS) 攻击，攻击者可以通过领先的 WordPress 插件注入恶意脚本。

这些漏洞可能会影响近 600 万个 WordPress 安装，因此安全专家建议认真对待。

在一个 5 月 29 日博客文章Fastly 的研究人员表示，他们观察到的攻击载荷注入了一个脚本标签，该标签指向托管在外部域上的混淆 JavaScript 文件。

研究人员表示，针对每个漏洞使用的脚本都是相同的，主要针对以下恶意操作：创建新的管理员帐户；注入后门，并设置跟踪脚本，显然是为了监视受感染的网站。

第一个错误 CVE-2024-2194 – 做作的 WP统计，其安装量超过 60 万次。第二个漏洞是 CVE-2023-6961 – 打 WP Meta SEO 拥有超过 20,000 个安装的插件。最后， CVE-2023-40000 – 打 LiteSpeed Cache 插件，其安装量已超过 500 万。

Critical Start 威胁检测工程师 Adam Neel 表示，这些 WordPress 漏洞让攻击者能够通过 XSS 窃取管理员凭据。Neel 补充说，WordPress 管理员拥有安全团队不希望落入攻击者手中的功能，例如删除其他用户、删除页面以及查看所有后端内容。

“这对攻击者来说是一笔巨大的信息和力量，因此网站管理员必须更新易受攻击的插件，”尼尔说。“确保所有 WordPress 插件都更新到最新版本。”

Menlo Security 首席安全架构师 Lionel Litty 补充说，有一些机制可以减轻这种存储型 XSS 漏洞的影响，即内容安全策略标头。不幸的是，Litty 说部署了该策略的 Web 服务器太少了，即使是部署了该策略的 Web 服务器，其策略也往往过于宽松而无法发挥作用。

“这是一个很好的提醒，请检查您正在使用的敏感网络应用程序，看看它们是否有足够的强化措施，”Litty 说。“如果没有，请向您的供应商咨询。”

Critical Start 的 Neel 建议安全专家考虑采取以下补救措施：