近 600 万个 WordPress 网站可能受到 3 个插件漏洞的影响

阅读量58597

发布时间 : 2024-06-03 11:21:27

我们观察到三个高严重性漏洞,这些漏洞容易受到未经身份验证的跨站点脚本 (XSS) 攻击,攻击者可以通过领先的 WordPress 插件注入恶意脚本。

这些漏洞可能会影响近 600 万个WordPress 安装,因此安全专家建议认真对待。

Fastly 的研究人员在 5 月 29 日的一篇博客文章中表示,他们观察到的攻击载荷注入了一个脚本标签,该标签指向托管在外部域上的混淆 JavaScript 文件。

研究人员表示,针对每个漏洞使用的脚本都是相同的,主要针对以下恶意操作:创建新的管理员帐户;注入后门,并设置跟踪脚本,显然是为了监视受感染的网站。

第一个漏洞CVE-2024-2194影响了WPStatistics,该插件的安装量超过 60 万次。第二个漏洞CVE-2023-6961影响了WP Meta SEO插件,该插件的安装量超过 2 万次。最后,CVE-2023-40000影响了LiteSpeed Cache 插件,该插件的安装量远超 500 万次。

Critical Start 威胁检测工程师 Adam Neel 表示,这些 WordPress 漏洞让攻击者能够通过XSS 窃取管理员凭据。Neel补充说,WordPress 管理员拥有安全团队不希望落入攻击者手中的功能,例如删除其他用户、删除页面以及查看所有后端内容。

“这对攻击者来说是一笔巨大的信息和力量,因此网站管理员必须更新易受攻击的插件,”尼尔说。“确保所有 WordPress 插件都更新到最新版本。”

Menlo Security 首席安全架构师 Lionel Litty 补充说,有一些机制可以减轻这种存储型 XSS 漏洞的影响,即内容安全策略标头。不幸的是,Litty 说部署了该策略的 Web 服务器太少了,即使是部署了该策略的 Web 服务器,其策略也往往过于宽松而无法发挥作用。

“这是一个很好的提醒,请检查您正在使用的敏感网络应用程序,看看它们是否有足够的强化措施,”Litty 说。“如果没有,请向您的供应商咨询。”

Critical Start 的 Neel 建议安全专家考虑采取以下补救措施:

  • 检查具有管理权限的用户帐户。删除任何可疑帐户,尤其是攻击者经常创建的“admim”帐户。
  • 扫描文件以查找意外修改,特别是查找注入的脚本,例如:
  • 注意任何指向 Yandex 跟踪链接或 URL“hxxp://ur.mystiqueapi[.]com/?ur”的异常出站请求。这可能表明攻击者的后门处于活动状态。

本文转载自:

如若转载,请注明出处: https://www.scmagazine.com/news/nearly-6m-wordpress-sites-may-be-affected-by-bugs-in-3-plug-ins

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66
。\n
  • 注意任何指向 Yandex 跟踪链接或 URL“hxxp://ur.mystiqueapi[.]com/?ur”的异常出站请求。这可能表明攻击者的后门处于活动状态。
  • \n\n\n","index":[[]],"success":true},"share":{"title":"近 600 万个 WordPress 网站可能受到 3 个插件漏洞的影响","desc":"","imgUrl":"https://p4.ssl.qhimg.com/sdm/160_160_100/t11fd941d71bc74aa62d9ca56c4.png"},"author":{"nickname":"安全客","user_url":"","id":170061,"avatar":"https://p0.ssl.qhimg.com/t010857340ce46bb672.jpg","banner":"https://p4.ssl.qhimg.com/t014757b72460d855bf.png","location":"","user_label":"official","description":"这个人太懒了,签名都懒得写一个","register_date":"2023-11-24 17:12:17","self":false,"follow":false,"post_count":1226,"follower_count":2,"follow_count":0,"comment_count":0},"relevant":[{"id":297298,"title":"开源 AI/ML 工具中发现易于利用的严重漏洞","date":"2024-06-14 11:42:32"},{"id":297295,"title":"Ivanti Endpoint Manager 中新的高风险漏洞曝光","date":"2024-06-14 11:34:21"},{"id":297291,"title":"外媒:卡巴斯基研究人员发现核电站使用的 ZKTeco 生物识别终端存在 24 个漏洞","date":"2024-06-14 11:15:08"},{"id":297240,"title":"暗网黑客“Tombstone”在网络犯罪论坛上销售 Google 子域名漏洞","date":"2024-06-13 10:49:27"},{"id":297237,"title":"Black Basta 勒索软件关联公司可能利用 Windows 漏洞作为零日漏洞","date":"2024-06-13 10:43:28"},{"id":297205,"title":"NVIDIA 和 Arm 敦促客户修补漏洞","date":"2024-06-12 10:53:26"},{"id":297163,"title":"据称 RCE 漏洞威胁意大利国防部子域名","date":"2024-06-11 10:50:32"}],"authorPostList":[{"post_id":297305,"title":"新型攻击技术“Sleepy Pickle”瞄准机器学习模型","cover":"https://p2.ssl.qhimg.com/sdm/229_160_100/t11fd941d71ce71dcf315ed11db.png","date":"2024-06-14 11:57:21"},{"post_id":297302,"title":"《Stable Diffusion 3》发布失败:神经网络画的是怪物而不是人","cover":"https://p0.ssl.qhimg.com/sdm/229_160_100/t11fd941d71ba3b8fff03ac3e2d.png","date":"2024-06-14 11:51:48"},{"post_id":297298,"title":"开源 AI/ML 工具中发现易于利用的严重漏洞","cover":"https://p1.ssl.qhimg.com/sdm/229_160_100/t0198d11c08ec0fac8f.png","date":"2024-06-14 11:42:32"},{"post_id":297295,"title":"Ivanti Endpoint Manager 中新的高风险漏洞曝光","cover":"https://p5.ssl.qhimg.com/sdm/229_160_100/t11fd941d71b54dc9f0bc5af41e.png","date":"2024-06-14 11:34:21"},{"post_id":297291,"title":"外媒:卡巴斯基研究人员发现核电站使用的 ZKTeco 生物识别终端存在 24 个漏洞","cover":"https://p0.ssl.qhimg.com/sdm/229_160_100/t11fd941d712c700f54ab3e8980.png","date":"2024-06-14 11:15:08"}],"cookie":[]}}; //published at: 6/17/2024, 3:23:48 AM