建议使用Newsletter插件的WordPress网站所有者更新其安装,以阻止可能利用固定漏洞的攻击,从而使黑客能够注入后门,创建流氓管理员并可能接管其网站。
该漏洞在Newsletter WordPress插件中找到,该 插件提供了使用可视化作曲器在WordPress博客上创建响应式新闻和电子邮件营销活动所需的工具。
自从将新闻通讯添加到官方WordPress插件存储库以来,其下载量已超过1200万次,现已安装在300,000多个站点上。
两天内修补
在 Wordfence威胁情报团队今天发布的一份报告中,威胁分析师Ram Gall说,他在分析插件开发人员7月13日发布的先前补丁时发现了另外两个安全漏洞。
Wordfence发现了一个反映的跨站点脚本(XSS)漏洞和一个PHP对象注入漏洞,它们都在7月17日由Newsletter的开发团队进行了全面修补,并于7月15日发送了初始报告的两天后发布了6.8.3版。
虽然这两个漏洞被评为中度和高度严重性问题,但它们可能允许攻击者在运行易受攻击的Newsletter插件版本的网站上成功利用所反映的XSS问题后,添加恶意管理员并注入后门程序。
此外,“ PHP对象注入漏洞”可用于注入一个PHP对象,该对象可能会被另一个插件或主题中的代码处理,并用于执行任意代码,上传文件或其他可能导致网站接管的其他策略,盖尔说。
至少有150,000个站点仍然受到攻击
即使Newsletter 6.8.3(已修复两个漏洞的补丁程序版本)已于7月17日发布,但根据历史数据,包括更新和新安装,此后此插件仅被下载了151449次。
如果黑客在以后的活动中开始利用这些错误,则可以转换为至少150,000个WordPress站点,这些站点具有活动的Newsletter安装,仍然有可能遭受潜在的攻击。
强烈建议新闻通讯用户尽快将其插件更新为6.8.3版本,以阻止旨在添加流氓管理员或在其网站上注入后门的攻击,因为威胁行为者经常在攻击中使用已经修复的WordPress插件漏洞。
例如,两个月前,Wordfence报告了一个针对 24 万个WordPress网站的活动,该活动在成功利用影响WordPress插件和主题的已知XSS漏洞后,试图通过窃取配置文件来收集数据库凭据。
当时,Gall表示:“在2020年5月29日至5月31日之间,Wordfence防火墙阻止了1.3亿次攻击,这些攻击旨在通过下载130万个站点的配置文件来获取数据库凭据。”
上周,在70,000多个WordPress网站上安装的wpDiscuz插件中发现了一个严重性最高的漏洞,使黑客可以通过远程代码执行攻击来接管托管帐户。
*编译:Domino
*来自:bleepingcomputer