黑客正在攻击另一个严重的WordPress安全漏洞

就在概念验证(PoC)漏洞发布一天后，网络犯罪分子被发现滥用流行WordPress插件中的一个已知的高严重性漏洞。PatchStack的网络安全研究人员在AdvancedCustomFields中发现了跨站点脚本(XSS)漏洞，AdvancedCustomFields是WordPress网站构建器的流行插件，活跃安装量超过200万。

该漏洞被追踪为CVE-2023-30777，允许威胁行为者窃取访问者的敏感数据，并在某些情况下完全接管网站。

PatchStack于5月2日发现了该漏洞，并于5月5日与PoC一起发布了报告。与此同时，该插件的运营商DeliciousBrains发布了安全更新，将该插件带到了6.1.6版本。

现在，骗子押注于大多数尚未更新其虚拟资产的网站管理员，这将使他们的网站容易受到此6.1/10缺陷的影响。

该公司的报告称：“AkamaiSIG分析了XSS攻击数据，并识别了漏洞PoC公开后24小时内发起的攻击。”“特别有趣的是查询本身：威胁行为者复制并使用了文章中的Patchstack示例代码。”

WordPress.org官方统计数据表明，只有不到三分之一的用户(31.7%)将插件更新到了6.1。版本，这意味着黑客有相当多的网站可以攻击。BleepingComputer的报告指出，至少140万个网站仍然容易受到此XSS缺陷的影响。

Patchstack表示：“这个漏洞允许任何未经身份验证的用户窃取敏感信息，在这种情况下，可以通过欺骗特权用户访问精心设计的URL路径来提升WordPress网站的权限。”研究人员总结道：“默认安装或配置高级自定义字段插件时可能会触发此漏洞。XSS也只能由有权访问高级自定义字段插件的登录用户触发。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！