威胁行为者正试图积极利用WordPress的ValvePress自动插件中的一个关键安全漏洞,该漏洞可能允许网站接管。
该漏洞编号为CVE-2024-27956, CVSS评分为9.9分(满分为10分)。它影响3.92.0之前的所有版本的插件。这个问题已经在2024年2月27日发布的3.92.1版本中得到解决,尽管发布说明中没有提到它。
WPScan在本周的警报中表示:“这个SQL注入(SQLi)漏洞构成了严重的威胁,因为攻击者可以利用它获得对网站的未经授权访问,创建管理员级别的用户帐户,上传恶意文件,并可能完全控制受影响的网站。”
根据automatic公司的说法,这个问题根源于插件的用户身份验证机制,可以通过特殊制作的请求对数据库执行任意SQL查询。
在目前观察到的攻击中,CVE-2024-27956被用于未经授权的数据库查询,并在易受影响的WordPress网站上创建新的管理帐户(例如,以“xtw”开头的名称),然后可以利用它进行后续的开发操作。
这包括安装使上传文件或编辑代码成为可能的插件,这表明试图将受感染的站点重新用作平台。
WPScan表示:“一旦WordPress网站被攻破,攻击者就会通过创建后门和混淆代码来确保他们的访问时间。”“为了逃避检测并保持访问权限,攻击者还可能重命名易受攻击的WP - Automatic文件,使网站所有者或安全工具难以识别或阻止该问题。”
所讨论的文件是“/wp - content/plugins/wp - automatic/inc/csv.php”,它被重命名为“/wp - content/plugins/wp - automatic/inc/csv65f82ab408b3.php”。
也就是说,威胁行为者这样做可能是为了阻止其他攻击者利用已经在他们控制下的网站。
WordPress安全公司Patchstack于2024年3月13日公开披露了CVE-2024-27956漏洞。从那时起,已有超过550万次攻击企图将该漏洞武器化。
此次披露是在Icegram Express的Email Subscribers (cve -24 -2876, CVSS分数:9.8)、Forminator (cve -24 -28890, CVSS分数:9.8)和User Registration (cve -24 -2417, CVSS分数:8.8)等插件中披露的严重漏洞,这些漏洞可用于从数据库中提取敏感数据,如密码哈希,上传任意文件,并授予认证者用户管理员权限。
Patchstack还警告说,Poll Maker插件(CVE-2024-32514, CVSS评分:9.9)中存在一个未修补的问题,该问题允许具有订阅者级别及以上权限的经过身份验证的攻击者在受影响站点的服务器上上传任意文件,从而导致远程代码执行。
原文始发于微信公众号(HackSee):黑客利用WP-Automatic插件错误在WordPress网站上创建管理员帐户
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论