WordPress Automatic 插件被曝高危漏洞，允许完全接管网站

近日，研究人员发现黑客正在试图利用 WordPress Automatic 插件的安全漏洞攻击网站，安全研究员表示，该漏洞允许完全接管网站，黑客们已经进行了数百万次攻击尝试。

WordPress Automatic 是款自动采集插件，有逾 3.8 万付费用户，可以从几乎任何网站采集内容（如文本、图像、视频）并自动发布到 WordPress。它可以使用它们的 API 从 YouTube 和 X 等流行网站导入，也可以使用其抓取模块从您选择的几乎任何网站导入。如自动导入亚马逊、eBay、沃尔玛等商品信息，并按要求设置好销售联盟购买链接。

安全公司 Patchstack 的研究人员3月13日披露，WordPress Automatic v3.92.0 及以下版本存在一个 9.9/10 的高危漏洞（CVE-2024-27596，CVSS评分9.9），该漏洞属于 SQL 注入，可被用于执行各种敏感操作，包括获得管理权限，上传恶意文件完全控制网站。

漏洞在于 WordPress Automatic 插件对用户认证机制的处理不当，攻击者能够使用特制请求绕过该机制，以向网站数据库执行恶意SQL查询，并创建新的管理员账户。在这之后，攻击者可以上传恶意文件（通常是Web shell或后门）到受感染网站的服务器。

插件开发商 ValvePress 已经发布了补丁 v3.92.1 修复漏洞，请用户立即更新该插件。

网络安全公司 WPScan 本周报告，自漏洞披露以来，已记录超过550万次对该漏洞的利用尝试。WPScan表示，这些尝试一开始增长缓慢，最终在3月31日达到峰值。该公司并未透露其中有多少次尝试成功了。

值得注意的是，WordPress是目前最受欢迎的网站构建平台之一，几乎占据整个互联网的一半，但其插件始终是安全十分薄弱的一环。建议 WordPress 用户仅安装必要的插件并始终注意版本更新。

历史上的今天:

• 2023:  4月30日，国际不打小孩日(0)
• 2023:  4月30日，全国交通安全反思日(0)
• 2023:  4月30日，国际爵士乐日(0)
• 2022:  不想在微博显示自己的 IP 归属地？你可以这样操作(1)