黑客正在尝试利用最近披露的一个 WordPress 插件高危漏洞控制网站。该漏洞位于 WordPress Automatic 插件,该插件有逾 3.8 万付费用户,被用于整合其它网站的内容。安全公司 Patchstack 的研究人员上个月披露,WordPress Automatic v3.92.0 及以下版本存在一个 9.9/10 的高危漏洞 CVE-2024-27596,该漏洞属于 SQL 注入,可被用于执行各种敏感操作,包括获得管理权限,上传恶意文件完全控制网站。插件开发商 ValvePress 已经发布了补丁 v3.92.1 修复漏洞。网络安全公司 WPScan 本周报告,自漏洞披露以来,它纪录到了逾 550 万次漏洞利用尝试。它没有披露有多少次尝试成功了。
https://arstechnica.com/security/2024/04/hackers-make-millions-of-attempts-to-exploit-wordpress-plugin-vulnerability/