近期，黑客频繁利用WordPress插件中的关键漏洞，从而控制数百万个网站。持续的攻击针对WordPress cookie 同意插件中的未经身份验证的存储跨站点脚本 (XSS) 漏洞，该插件具有超过 40,000 个活动安装。

在 XSS 攻击中，威胁参与者将恶意 JavaScript 脚本注入易受攻击的网站，这些脚本将在访问者的 Web 浏览器中执行。影响可能包括未经授权访问敏感信息、会话劫持、通过重定向到恶意网站感染恶意软件或完全破坏目标系统导致数据泄露。

发现这些攻击的 WordPress 安全公司 Defiant 表示，该漏洞还允许未经身份验证的攻击者在运行未修补插件版本（最高并包括 2.10.1）的 WordPress 网站上创建流氓管理员帐户。

此次攻击活动中利用的安全漏洞已于 1 月份通过 2.10.2 版的发布进行了修补。“根据我们的记录，该漏洞自 2023 年 2 月 5 日以来一直受到频繁攻击，但这是我们所见过的针对它的最大规模数据泄露攻击，”威胁分析师 Ram Gall 表示。“自 2023 年 5 月 23 日以来，我们已经阻止了来自近 14,000 个 IP 地址的近 300 万次针对超过 150 万个站点的攻击，并且攻击仍在继续。”

上周，威胁行为者也开始探测运行 Essential Addons for Elementor 和 WordPress Advanced Custom Fields 插件的 WordPress 网站。这些攻击始于发布证明概念 (PoC) 漏洞之后，该漏洞允许未认证的攻击者在重置管理员密码并获取特权访问后劫持网站。

（新闻来自：嘶吼RoarTalk）