威胁参与者正试图积极利用 WordPress 的 ValvePress 自动插件中的一个关键安全漏洞,该漏洞可能允许网站被接管。
该缺陷的编号为CVE-2024-27956,CVSS 评分为 9.9 分(满分 10 分)。它影响 3.92.0 之前的所有插件版本。该问题已在 2024 年 2 月 27 日发布的3.92.1 版本中得到解决,尽管发行说明中没有提及。
WPScan 表示:“这个漏洞是一个 SQL 注入 (SQLi) 缺陷,会造成严重威胁,因为攻击者可以利用它来获得对网站的未经授权的访问、创建管理员级用户帐户、上传恶意文件,并可能完全控制受影响的网站。”在本周的警报中说。
据 Automattic 旗下公司称,该问题根源于该插件的用户身份验证机制,可以轻松绕过该机制,通过特制请求对数据库执行任意 SQL 查询。
在迄今为止观察到的攻击中,CVE-2024-27956 被用于未经授权的数据库查询,并在易受影响的 WordPress 网站上创建新的管理员帐户(例如,以“xtw”开头的名称),然后可以利用这些帐户进行后续攻击。剥削行为。
这包括安装可以上传文件或编辑代码的插件,表明试图将受感染的站点重新用作舞台。
WPScan 表示:“一旦 WordPress 网站遭到入侵,攻击者就会通过创建后门和混淆代码来确保其访问的长期性。” “为了逃避检测并保持访问,攻击者还可能重命名易受攻击的 WP-Automatic 文件,从而使网站所有者或安全工具难以识别或阻止该问题。”
有问题的文件是“/wp-content/plugins/wp-automatic/inc/csv.php”,它被重命名为“/wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php”。
也就是说,威胁行为者这样做可能是为了阻止其他攻击者利用已经在他们控制下的网站。
CVE-2024-27956由 WordPress 安全公司 Patchstack 于 2024 年 3 月 13 日公开披露。此后,已在野外检测到超过 550 万次将该漏洞武器化的攻击尝试。
此次披露是由于 Icegram Express 的电子邮件订阅者( CVE-2024-2876,CVSS 分数:9.8)、Forminator(CVE-2024-28890,CVSS 分数:9.8)和用户注册(CVE-2024-28890,CVSS 分数:9.8)等插件中披露了严重错误。 2024-2417,CVSS 分数:8.8),可用于从数据库中提取密码哈希等敏感数据、上传任意文件以及授予身份验证器用户管理权限。
Patchstack 还警告Poll Maker 插件中存在未修补的问题(CVE-2024-32514,CVSS 评分:9.9),该问题允许经过身份验证的攻击者(具有订户级及以上访问权限)在受影响站点的服务器上上传任意文件,从而导致远程代码执行。
发表评论
您还未登录,请先登录。
登录