近日,研究人员发现黑客正在试图利用 WordPress Automatic 插件的安全漏洞攻击网站,安全研究员表示,该漏洞允许完全接管网站,黑客们已经进行了数百万次攻击尝试。
WordPress Automatic 是款自动采集插件,有逾 3.8 万付费用户,可以从几乎任何网站采集内容(如文本、图像、视频)并自动发布到 WordPress。它可以使用它们的 API 从 YouTube 和 X 等流行网站导入,也可以使用其抓取模块从您选择的几乎任何网站导入。如自动导入亚马逊、eBay、沃尔玛等商品信息,并按要求设置好销售联盟购买链接。
安全公司 Patchstack 的研究人员3月13日披露,WordPress Automatic v3.92.0 及以下版本存在一个 9.9/10 的高危漏洞(CVE-2024-27596,CVSS评分9.9),该漏洞属于 SQL 注入,可被用于执行各种敏感操作,包括获得管理权限,上传恶意文件完全控制网站。
漏洞在于 WordPress Automatic 插件对用户认证机制的处理不当,攻击者能够使用特制请求绕过该机制,以向网站数据库执行恶意SQL查询,并创建新的管理员账户。在这之后,攻击者可以上传恶意文件(通常是Web shell或后门)到受感染网站的服务器。
插件开发商 ValvePress 已经发布了补丁 v3.92.1 修复漏洞,请用户立即更新该插件。
网络安全公司 WPScan 本周报告,自漏洞披露以来,已记录超过550万次对该漏洞的利用尝试。WPScan表示,这些尝试一开始增长缓慢,最终在3月31日达到峰值。该公司并未透露其中有多少次尝试成功了。
值得注意的是,WordPress是目前最受欢迎的网站构建平台之一,几乎占据整个互联网的一半,但其插件始终是安全十分薄弱的一环。建议 WordPress 用户仅安装必要的插件并始终注意版本更新。
插件没用过哈。
@万有引力 这是自动采集插件,许多做垃圾站的人会用到。