我们观察到三个高严重性漏洞，这些漏洞容易受到未经身份验证的跨站点脚本 (XSS) 攻击，攻击者可以通过领先的 WordPress 插件注入恶意脚本。

这些漏洞可能会影响近 600 万个WordPress 安装，因此安全专家建议认真对待。

Fastly 的研究人员在 5 月 29 日的一篇博客文章中表示，他们观察到的攻击载荷注入了一个脚本标签，该标签指向托管在外部域上的混淆 JavaScript 文件。

研究人员表示，针对每个漏洞使用的脚本都是相同的，主要针对以下恶意操作：创建新的管理员帐户；注入后门，并设置跟踪脚本，显然是为了监视受感染的网站。

第一个漏洞CVE-2024-2194影响了WPStatistics，该插件的安装量超过 60 万次。第二个漏洞CVE-2023-6961影响了WP Meta SEO插件，该插件的安装量超过 2 万次。最后，CVE-2023-40000影响了LiteSpeed Cache 插件，该插件的安装量远超 500 万次。

Critical Start 威胁检测工程师 Adam Neel 表示，这些 WordPress 漏洞让攻击者能够通过XSS 窃取管理员凭据。Neel补充说，WordPress 管理员拥有安全团队不希望落入攻击者手中的功能，例如删除其他用户、删除页面以及查看所有后端内容。

“这对攻击者来说是一笔巨大的信息和力量，因此网站管理员必须更新易受攻击的插件，”尼尔说。“确保所有 WordPress 插件都更新到最新版本。”

Menlo Security 首席安全架构师 Lionel Litty 补充说，有一些机制可以减轻这种存储型 XSS 漏洞的影响，即内容安全策略标头。不幸的是，Litty 说部署了该策略的 Web 服务器太少了，即使是部署了该策略的 Web 服务器，其策略也往往过于宽松而无法发挥作用。

“这是一个很好的提醒，请检查您正在使用的敏感网络应用程序，看看它们是否有足够的强化措施，”Litty 说。“如果没有，请向您的供应商咨询。”

Critical Start 的 Neel 建议安全专家考虑采取以下补救措施：

检查具有管理权限的用户帐户。删除任何可疑帐户，尤其是攻击者经常创建的“admim”帐户。
扫描文件以查找意外修改，特别是查找注入的脚本，例如： 或 。
注意任何指向 Yandex 跟踪链接或 URL“hxxp://ur.mystiqueapi[.]com/?ur”的异常出站请求。这可能表明攻击者的后门处于活动状态。

文章原文链接:https://www.anquanke.com/post/id/297019