Fastly研究人员发现未经身份验证的存储型XSS攻击困扰着WordPress插件,包括WP Meta SEO和流行的WP Statistics和LiteSpeed!了解这些攻击的工作原理、影响以及如何使用多层防御来加强您的网站。
云安全提供商Fastly警告称,WordPress是全球使用的内容管理系统(CMS),为数百万个网站提供支持,但目前正遭受利用未经身份验证的存储跨站点脚本(XSS)漏洞的攻击。该公司发现有人试图利用流行的WordPress插件中的三个高危漏洞。
根据Fastly的博客文章,攻击者正在向网站注入恶意脚本和后门以创建新的管理员帐户,在插件和主题文件中注入PHP后门,并设置跟踪脚本来监视受感染的目标。恶意负载在五个域中被引用,另外两个基于跟踪的域之前与WordPress插件利用有关。
易受攻击的插件包括WP Meta SEO,以及流行的WP Statistics和LiteSpeed Cache插件,分别拥有超过600000和500万个活跃安装,被发现容易受到攻击,恶意负载通过URL搜索参数和伪装成管理员通知的脚本注入,可能导致大范围的入侵。
供您参考,未经身份验证的存储型XSS是一种恶意脚本,当它注入WordPress网站时,允许未经授权的访问敏感信息,如cookie和会话令牌。
CVE-2023-6961由CERT PL研究员Krzysztof Zając于2024年4月发现,暴露了WP Meta SEO插件中的一个漏洞,攻击者可以通过向目标站点发送有效负载、生成404响应以及将未清理的标头插入数据库来利用该漏洞。
CVE-2024-2194由Tim Coen于2024年3月发现,当用户访问注入的页面时,未经身份验证的攻击者可以将Web脚本注入WP Statistics插件版本14.5及更早版本。低于14.5的版本在使用该插件的所有网站上仍处于活动状态,占比48%。
CVE-2023-40000由Patchstack于2024年2月发现,暴露了LiteSpeed Cache插件中的存储型跨站点脚本漏洞,当管理员访问伪装成管理员通知的后端页面时会触发XSS漏洞。
WordPress插件依赖于用户生成的内容,如果未经过适当的验证和清理,这些内容很容易受到恶意脚本的攻击。任何利用都可能导致严重后果,包括会话劫持、数据窃取、恶意软件传播和网站破坏。
为了保护您的WordPress网站免受未经身份验证的存储型XSS攻击,请定期更新您的核心、插件和主题,优先考虑输入验证和清理,定期扫描您的网站以查找漏洞,实施Web应用程序防火墙(WAF),并使用强密码和多因素身份验证(MFA)。
Critical Start威胁检测工程师Adam Neel对该问题进行了评论,并告诉我们:“这些 WordPress漏洞允许攻击者通过跨站点脚本(XSS)窃取管理员凭据,并且WordPress管理员拥有一些您不希望落入攻击者手中的功能,例如删除其他用户、删除页面以及查看所有后端内容,”他警告说。
“对于攻击者来说,这是大量的信息和能力,因此网站管理员必须更新易受攻击的插件。确保所有WordPress插件都更新到最新版本,尤其是WP Statistics、WP Meta SEO和LiteSpeed Cache。”Adam建议道。
评论已关闭。