黑客在数十个WordPress插件和主题中植入了秘密后门
相关标签: # 编辑器# 脚本# 软件# 信息# 安全漏洞
#后门让攻击者对使用40个主题和53个插件的网站拥有完全的管理控制权,这些主题和插件属于AccessPress themes,这是一家总部位于尼泊尔的公司,拥有不少于36万个活动网站安装
#“受感染的扩展包含一个网络外壳的滴管,使攻击者能够完全访问受感染的网站,”WordPress插件套件开发者JetPack的安全研究人员在本周发布的一份报告中说。“如果直接从WordPress下载或安装相同的扩展,也可以组织目录。"
该漏洞已被分配标识符CVE-2021-24867。网站安全平台Sucuri在另一项分析中表示,利用该后门发现的一些受感染网站的垃圾邮件有效载荷可以追溯到近三年前,这意味着该行动背后的参与者正在向其他垃圾邮件活动的运营商出售访问这些网站的权限
#本月初,网络安全公司eSentire披露了合法企业的WordPress网站如何被用作恶意软件交付的温床,通过名为GootLoader的植入物,为在谷歌等搜索引擎上搜索婚后协议或知识产权协议的毫无戒备的用户提供服务
建议直接从AccessPress主题网站安装插件的网站所有者立即升级到安全版本,或用WordPress[.]的最新版本替换组织。此外,还需要部署一个干净版本的WordPress,以恢复安装后门期间所做的修改##这些发现的同时,WordPress安全公司Wordfence披露了一个现已修补的跨站点脚本(XSS)漏洞的详细信息,该漏洞影响了一个名为“WordPress电子邮件模板设计器–;WP HTML Mail”的插件,该插件安装在超过20000个网站上
#作为CVE-2022-0218跟踪,该漏洞在CVSS漏洞评分系统上被评为8.3级,并作为2022年1月13日发布的更新(版本3.1)的一部分得到解决
#“这个漏洞使得未经验证的攻击者有可能注入恶意JavaScript,每当网站管理员访问模板编辑器时,就会执行这些JavaScript,”克洛伊·张伯兰说。“该漏洞还允许他们修改电子邮件模板,以包含任意数据,这些数据可用于对从受损网站收到电子邮件的任何人进行钓鱼攻击。”
根据本月基于风险的安全性发布的统计数据,在2021年底,第三方WordPress插件中发现并报告了2240个安全漏洞,从2020上升到142%,当泄露了近1000个漏洞时。迄今为止,共发现10359个WordPress插件漏洞特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
