在过去三周内， 超过3,900 个 WordPress 网站在新的恶意活动中 受到攻击，其主要目标是利用 Popup Builder 插件中的漏洞将恶意 JavaScript 内容注入网站。

Sucuri 的研究人员报告 称，从 2024 年 2 月 12 日开始，攻击是从不到一个月前注册的域名发起的。主要攻击向量与 CVE-2023-6000 漏洞有关， 攻击者通过该漏洞创建虚假管理员帐户并安装任意插件。

此前，黑客曾利用 该漏洞 利用 Balada Injector 进行恶意操作，危害至少 7,000 个网站。与此同时，一系列新的攻击引入了另外两种恶意代码变体，旨在将网站访问者重定向到网络钓鱼和欺诈页面。

强烈建议 WordPress 网站所有者将 Popup Builder 插件更新到最新版本（如果由于某种原因尚未更新）。如您所见，攻击者正在积极利用 CVE-2023-6000 漏洞，并且只要网络上存在该插件的易受攻击实例，他们就会这样做。

此外，前几天，专门从事WordPress安全的公司 Wordfence 在另一个流行插件——Ultimate Member中发现了一个高级漏洞。该漏洞指定为 CVE-2024-2123， CVSS 评分为 7.2，影响该插件的所有版本（包括 2.8.3），并在 2024 年 3 月 6 日发布的版本 2.8.4 中修复。问题在于输入清理和输出转义不足，这使得未经身份验证的攻击者可以注入任意 Web 脚本。

上述两个事件都是在 发现另一个漏洞之后发生的 ，该漏洞允许在 Avada WordPress 主题的服务器上上传任何文件。该漏洞（编号为 CVE-2024-1468） 最近也已得到修复。

专家强调及时更新网站软件和插件以防止此类攻击的重要性。只有管​​理员才对其网络资源及其访问者的安全负责。这就是为什么您应该始终特别注意及时更新网站的软件。

文章原文链接:https://www.anquanke.com/post/id/293845