近 600 万个 WordPress 网站可能受到 3 个插件漏洞的影响
我们观察到三个高严重性漏洞,这些漏洞容易受到未经身份验证的跨站点脚本 (XSS) 攻击,攻击者可以通过领先的 WordPress 插件注入恶意脚本。 这些漏洞可能会影响近 600 万个 WordPress 安装,因此安全专家建议认真对待。 在一个 5 月 29 日博客文章Fastly 的研究人员表示,他们观察到的攻击载荷注入了一个脚本标签,该标签指向托管在外部域上的混淆 JavaScript 文件。 研究人员表示,针对每个漏洞使用的脚本都是相同的,主要针对以下恶意操作:创建新的管理员帐户;注入后门,并设置跟踪脚本,显然是为了监视受感染的网站。 第一个错误 CVE-2024-2194 – 做作的 WP统计,其安装量超过 60 万次。第二个漏洞是 CVE-2023-6961 – 打 WP Meta SEO 拥有超过 20,000 个安装的插件。最后, CVE-2023-40000 – 打 LiteSpeed Cache 插件,其安装量已超过 500 万。 Critical Start 威胁检测工程师 Adam Neel 表示,这些 WordPress 漏洞让攻击者能够通过 XSS 窃取管理员凭据。Neel 补充说,WordPress 管理员拥有安全团队不希望落入攻击者手中的功能,例如删除其他用户、删除页面以及查看所有后端内容。 […]