WP 自动 WordPress 插件中发现严重的 SQL 注入漏洞

马德里，四月 26 日 （传送门/EP）-

他 WordPress WP 自动补充 提出了一个 严重的SQL注入漏洞网络犯罪分子可以使用它创建管理员帐户 访问网站数据库并上传恶意代码除了安装后门外。

WP 自动 WordPress 插件是一个允许管理员的工具 自动从各种在线来源导入网站上的内容，例如图像、文本或视频。 例如，来自 X（以前的 Twitter）的 YouTube 视频或图像。

由于他们已经能够识别出 来自网络安全服务 PatchStack 的研究人员， 这个补体有一个 严重的SQL注入漏洞恶意行为者可以通过它访问网站的数据库 上传恶意代码， 此外 安装后门 获得长期访问权并 控制受影响的站点。

PatchStack 详细介绍 在您的网站上， 这是一个漏洞，被识别为 CVE-2024-27956 并有资格获得 高严重级别（9.9 分，满分 10 分）。 具体来说，它影响 3.9.2.0之前的版本 来自 WP 自动插件。

SQL 注入攻击是网络犯罪分子将侵入性代码渗透到网站中的一种方法。 在这种情况下，如 WP扫描分析 -Wordpress 的漏洞扫描系统-， 该错误存在于插件的用户身份验证机制中攻击者可以 规避并向网站数据库发送恶意 SQL 查询。

从这个意义上说，研究人员详细说明，通过利用此漏洞，恶意行为者可以获得 创建管理员帐户 在用户的网站上以及 直接与数据库交互。 通过这种方式，他们可以执行以下操作： 信息盗窃或上传恶意文件，例如后门。

因此，自去年 3 月 Patchstack 发布该漏洞以来，WPScan 表示他们已经 识别出 5,576,488 次攻击尝试。

尽管如此，Patchstack 网络安全研究人员建议用户安装 WP 自动补丁 更新到版本3.92.1或更高版本以消除漏洞并防止未来可能的攻击。

同样，WPScan 建议 定期检查 WordPress 中的用户帐户并删除任何未经授权或可疑的用户。 他们还建议 使用安全监控工具和服务 检测并响应网站上可能的恶意活动。

最后，WPScan 指出 制作备份副本的重要性 从网站更新为 方便快速恢复 以防受到网络攻击的损害。