黑客试图利用 WordPress 插件漏洞,该漏洞非常严重
![](https://cdn.arstechnica.net/wp-content/uploads/2023/05/system-hacked-760x380.jpg)
盖蒂图片社 研究人员表示,黑客正在使用一个著名的 WordPress 插件攻击网站,并进行了数百万次尝试,以利用一个允许完全接管的高严重性漏洞。 该漏洞存在于 WordPress 自动,一个拥有超过 38,000 名付费客户的插件。 运行 WordPress 内容管理系统的网站使用它来合并来自其他网站的内容。 安全公司 Patchstack 的研究人员 上个月披露 WP 自动版本 3.92.0 及更低版本存在一个漏洞,严重程度为 9.9(满分 10)。插件开发者 ValvePress 悄悄发布了一个补丁,该补丁可在 3.92.1 及更高版本中使用。 研究人员已将这个编号为 CVE-2024-27956 的缺陷归类为 SQL 注入,这是一类由于 Web 应用程序无法正确查询后端数据库而产生的漏洞。 SQL 语法使用撇号来指示数据字符串的开头和结尾。 通过在易受攻击的网站字段中输入带有特殊位置的撇号的字符串,攻击者可以执行执行各种敏感操作的代码,包括返回机密数据、授予管理系统权限或破坏 Web 应用程序的工作方式。 Patchstack 研究人员在 3 月 13 日写道:“这个漏洞非常危险,预计会被大规模利用。” 网络安全公司 WPScan 星期四说 自 3 月 13 日 Patchstack 披露以来,已记录了超过 550 […]