WordPress Automatic 插件被曝高危漏洞,允许完全接管网站

近日,研究人员发现黑客正在试图利用 WordPress Automatic 插件的安全漏洞攻击网站,安全研究员表示,该漏洞允许完全接管网站,黑客们已经进行了数百万次攻击尝试。

WordPress Automatic 是款自动采集插件,有逾 3.8 万付费用户,可以从几乎任何网站采集内容(如文本、图像、视频)并自动发布到 WordPress。它可以使用它们的 API 从 YouTube 和 X 等流行网站导入,也可以使用其抓取模块从您选择的几乎任何网站导入。如自动导入亚马逊、eBay、沃尔玛等商品信息,并按要求设置好销售联盟购买链接。

安全公司 Patchstack 的研究人员3月13日披露,WordPress Automatic v3.92.0 及以下版本存在一个 9.9/10 的高危漏洞(CVE-2024-27596,CVSS评分9.9),该漏洞属于 SQL 注入,可被用于执行各种敏感操作,包括获得管理权限,上传恶意文件完全控制网站。

漏洞在于 WordPress Automatic 插件对用户认证机制的处理不当,攻击者能够使用特制请求绕过该机制,以向网站数据库执行恶意SQL查询,并创建新的管理员账户。在这之后,攻击者可以上传恶意文件(通常是Web shell或后门)到受感染网站的服务器。

插件开发商 ValvePress 已经发布了补丁 v3.92.1 修复漏洞,请用户立即更新该插件。

网络安全公司 WPScan 本周报告,自漏洞披露以来,已记录超过550万次对该漏洞的利用尝试。WPScan表示,这些尝试一开始增长缓慢,最终在3月31日达到峰值。该公司并未透露其中有多少次尝试成功了。

值得注意的是,WordPress是目前最受欢迎的网站构建平台之一,几乎占据整个互联网的一半,但其插件始终是安全十分薄弱的一环。建议 WordPress 用户仅安装必要的插件并始终注意版本更新。


历史上的今天:

相关推荐

Google Chrome 浏览器紧急更新,修复 CVE-2024-4671 高危漏洞

Google Chrome 浏览器昨天获推 124.0.6367.201/202 版本更新,紧急修复了一项 CVE-2024-4671 高危漏洞,该漏洞据称已遭黑客利用,需要的用户可以点此下载最新版本。 Google 披露,他们在 5 月 7 日接收了匿名人士报告的相关漏洞,随即展开修复工作,这项 CVE-2024-4671 漏洞 CVSS 评分为 8.8,实际上是一个常见的“Use-af ...

Google Chrome v122 为孩子提供更安全的浏览体验

Google Chrome 近日更新发布 v122 版本,新版本不但可保存标签页分组,还可为孩子提供更安全的浏览体验。 保存标签页分组,方便之后使用 需要时,您可以跨多台桌面设备保存和打开标签页分组。这有助于更轻松地清理标签栏,并专注于您当前需要完成的任务。 右键点击某个标签页,然后选择向分组中添加标签页。 开启保存分 ...

龙游公安严打“刷单炒信”扰乱市场行为

哪些因素会影响你在外卖平台点餐选择呢?店铺的评分?月销量?评价?这些有可能都是造假的! 外卖商家在平台算法日趋内卷的竞争中,通过刷单、好评来提升店铺分,获得平台推送加持,增强其曝光量。 近日,龙游县公安局成功破获一起“外卖刷单”非法经营案,抓获犯罪嫌疑人六名,扣押涉案手机百余部,涉案金额近百万元。 ( ...

Facebook 和 Instagram 开始对未成年人隐藏敏感内容

Meta 官方博客宣布开始在 Facebook 和 Instagram 上对未成年人隐藏敏感内容。 敏感主题内容被认为对青少年发育、心理和心理健康有害。被隐藏的主题包括自残、自杀、饮食失调、限制品以及裸体。Meta 表示,即使青少年关注的账号分享了敏感内容,他们也会被阻止观看。搜索敏感主题的青少年会被建议联系朋友或咨询专家。 比 ...

2 条评论

  1. 插件没用过哈。

发表评论

您的电子邮件地址不会被公开,必填项已用*标注。