黑客积极利用WordPress插件漏洞安装在网站上

Fancy Product Designer是一个安装在17000多个网站上的WordPress插件，它被发现包含一个关键的文件上传漏洞，该漏洞在野外被积极利用，将恶意软件上传到安装了该插件的网站上。

Wordfence的威胁情报团队发现了该漏洞，并于5月31日向插件开发者报告了该问题。虽然这一缺陷已经得到承认，但尚未得到解决。

Fancy Product Designer是一款让企业能够提供可定制产品的工具，通过提供上传图像和可添加到产品中的PDF文件的功能，客户可以设计从T恤到手机壳等任何种类的产品。

Wordfence在周二发布的一篇文章中说：“不幸的是，虽然插件有一些检查来防止恶意文件被上传，但这些检查不够充分，很容易被绕过，使得攻击者可以将可执行的PHP文件上传到任何安装了插件的网站。”。

Armed with this capability, an attacker can achieve remote code execution on an affected website, allowing full site takeover, the researchers noted. Wordfence has not shared the technical specifics of the vulnerability as it found evidence of it being abused as early as January 30.

Wordfence表示，即使插件已被停用，关键的零日也可以在特定配置中被利用，敦促用户完全卸载Fancy Product Designer，直到补丁版本可用。

这远非Wordfence第一次披露WordPress插件中的严重问题。2017年12月，BestWebSoft验证码插件中的一个隐藏后门被发现影响了30万个网站。

今年早些时候，研究人员发现Elementor和WP Super Cache中存在漏洞，如果成功利用这些漏洞，攻击者可以在某些情况下运行任意代码并接管网站。

更新：Fancy Product Designer的维护人员发布了一个更新（版本4.6.9），以修复上述文件上传漏洞。Wordence还分享了与此次攻击相关的修订版妥协指标（IoC），可在此处访问。