資安廠商 Patchstack 近期發現一個 WordPress 外掛程式漏洞 CVE-2023-30777,在該廠商公布相關漏洞資訊後短短 24 小時,就開始遭到駭侵者藉以大量發動攻擊。
該漏洞 CVE-2023-30777 存於一個獲得廣泛採用的 WordPress 外掛程式(Plugin)Advanced Custom Fields,屬於高危險性的跨站指令碼攻擊(Cross-site scripting, XSS)漏洞;未經授權的攻擊者可透過該漏洞竊取機敏資訊,並且在受到攻擊的 WordPress 網站中提升自身的執行權限。
該漏洞的 CVSS 危險程度評分為 7.1 分(滿分為 10 分),危險程度評級為「高」(High);Patchstack 於 2023 年 5 月 2 日發現此漏洞,並在 3 天後的 5 月 5 日公布漏洞相關細節與攻擊用的概念驗證(proof of concept)。Advanced Custom Fields 外掛程式的開發者則是在 Patchstack 推出概念驗證前一天完成該外掛程式的修復,並且推出更新版本 6.1.6。
然而根據網路基礎建設業者 Akamai 旗下資安團隊的報告指出,該團隊自 5 月 6 日起開始觀察到大量使用 Patchstack 攻擊概念驗證程式碼發動的攻擊活動;報告指出駭侵者直接拷貝了 Patchstack 撰寫的程式碼,針對眾多 WordPress 網站發動攻擊。
據估計,目前仍在使用舊版未更新 Advanced Custom Fields 外掛程式的 WordPress 網站,高達 140 萬個之多,因此給駭侵者很大的攻擊空間。
建議使用 Advanced Custom Fields 外掛程式的 WordPress 網站管理員,應立即將該外掛程式更新到 5.12.6、6.1.6 或後續版本,以避免遭到攻擊。
- 參考連結
Reflected XSS in Advanced Custom Fields Plugins Affecting 2+ Million Sites
The Race to Patch: Attackers Leverage Sample Exploit Code in Wordpress Plugin
https://www.akamai.com/blog/security-research/attackers-leverage-sample-exploit-wordpress-plugin
留言列表