close

_11_2023.05.15_駭侵者利用已公開的_WordPress_外掛程式漏洞發動大規模攻擊

資安廠商 Patchstack 近期發現一個 WordPress 外掛程式漏洞 CVE-2023-30777,在該廠商公布相關漏洞資訊後短短 24 小時,就開始遭到駭侵者藉以大量發動攻擊。

該漏洞 CVE-2023-30777 存於一個獲得廣泛採用的 WordPress 外掛程式(Plugin)Advanced Custom Fields,屬於高危險性的跨站指令碼攻擊(Cross-site scripting, XSS)漏洞;未經授權的攻擊者可透過該漏洞竊取機敏資訊,並且在受到攻擊的 WordPress 網站中提升自身的執行權限。

該漏洞的 CVSS 危險程度評分為 7.1 分(滿分為 10 分),危險程度評級為「高」(High);Patchstack 於 2023 年 5 月 2 日發現此漏洞,並在 3 天後的 5 月 5 日公布漏洞相關細節與攻擊用的概念驗證(proof of concept)。Advanced Custom Fields 外掛程式的開發者則是在 Patchstack 推出概念驗證前一天完成該外掛程式的修復,並且推出更新版本 6.1.6。

然而根據網路基礎建設業者 Akamai 旗下資安團隊的報告指出,該團隊自 5 月 6 日起開始觀察到大量使用 Patchstack 攻擊概念驗證程式碼發動的攻擊活動;報告指出駭侵者直接拷貝了 Patchstack 撰寫的程式碼,針對眾多 WordPress 網站發動攻擊。

據估計,目前仍在使用舊版未更新 Advanced Custom Fields 外掛程式的 WordPress 網站,高達 140 萬個之多,因此給駭侵者很大的攻擊空間。

建議使用 Advanced Custom Fields 外掛程式的 WordPress 網站管理員,應立即將該外掛程式更新到 5.12.6、6.1.6 或後續版本,以避免遭到攻擊。

  • 參考連結

Reflected XSS in Advanced Custom Fields Plugins Affecting 2+ Million Sites

https://patchstack.com/articles/reflected-xss-in-advanced-custom-fields-plugins-affecting-2-million-sites/

The Race to Patch: Attackers Leverage Sample Exploit Code in Wordpress Plugin

https://www.akamai.com/blog/security-research/attackers-leverage-sample-exploit-wordpress-plugin

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 WordPress 外掛程式 資安漏洞
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄