黑客试图利用 WordPress 插件漏洞,该漏洞非常严重
盖蒂图片社 研究人员表示,黑客正在使用一个著名的 WordPress 插件攻击网站,并进行了数百万次尝试,以利用一个允许完全接管的高严重性漏洞。 该漏洞存在于 WordPress 自动,一个拥有超过 38,000 名付费客户的插件。 运行 WordPress 内容管理系统的网站使用它来合并来自其他网站的内容。 安全公司 Patchstack 的研究人员 上个月披露 WP 自动版本 3.92.0 及更低版本存在一个漏洞,严重程度为 9.9(满分 10)。插件开发者 ValvePress 悄悄发布了一个补丁,该补丁可在 3.92.1 及更高版本中使用。 研究人员已将这个编号为 CVE-2024-27956 的缺陷归类为 SQL 注入,这是一类由于 Web 应用程序无法正确查询后端数据库而产生的漏洞。 SQL 语法使用撇号来指示数据字符串的开头和结尾。 通过在易受攻击的网站字段中输入带有特殊位置的撇号的字符串,攻击者可以执行执行各种敏感操作的代码,包括返回机密数据、授予管理系统权限或破坏 Web 应用程序的工作方式。 Patchstack 研究人员在 3 月 13 日写道:“这个漏洞非常危险,预计会被大规模利用。” 网络安全公司 WPScan 星期四说 自 3 月 13 日 Patchstack 披露以来,已记录了超过 550 […]