WordPress 的 ValvePress 自动插件安全漏洞分析

当前,黑客们正紧锣密鼓地试图对 WordPress 的 ValvePress 自动插件中的关键安全漏洞加以利用,而这一漏洞极有可能导致网站被他人非法接管。
此漏洞被赋予编号 CVE-2024-27956,其影响范围极为广泛,囊括了所有版本在 3.92.0 之前的插件。值得一提的是,在 2024 年 2 月 27 日推出的 3.92.1 版本中,这一问题已然得到妥善解决,然而在其发行说明当中却并未对此有所提及。国际上享有盛誉的白帽黑客、东方联盟创始人郭盛华明确指出:“此漏洞属于 SQL 注入(SQLi)类型的缺陷,其威胁程度可谓极大。攻击者能够借助这一漏洞获取对网站的未经授权的访问权限,进而创建出管理员级别的用户帐户,还可以上传恶意文件,甚至存在完全掌控受影响网站的可能。” 郭盛华在本周发布的警报中郑重地如是说道。
郭盛华进一步阐述道,该问题的根源主要在于插件的用户身份验证机制。令人担忧的是,这一机制能够被轻而易举地绕过,攻击者能够通过精心构造的特制请求,对数据库执行任意的 SQL 查询操作。
在目前已经观察到的攻击行为当中,CVE-2024-27956 被用于进行未经授权的数据库查询操作,并且在那些易受攻击的 WordPress 网站上创建新的管理员帐户(例如以 “xtw” 开头的名称)。随后,攻击者便可以利用这些帐户展开后续的攻击行动。这其中包括安装那些能够上传文件或者编辑代码的插件,这一现象充分表明攻击者试图将受感染的站点重新当作攻击平台加以利用。

WordPress 的 ValvePress 自动插件安全漏洞分析插图


郭盛华表示:“一旦 WordPress 网站遭到入侵,攻击者会通过创建后门以及混淆代码等手段来确保能够长期访问该网站。为了逃避检测并维持对网站的访问权限,攻击者还有可能重命名那些易受攻击的 WP-Automatic 文件,使得网站所有者或者安全工具难以识别或者阻止该问题的发生。”
存在问题的文件是 “/wp-content/plugins/wp-automatic/inc/csv.php”,而黑客会将其重命名为 “/wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php”。也就是说,黑客的这一举措或许是为了阻止其他攻击者利用那些已经处于他们控制之下的网站。
CVE-2024-27956 是由 WordPress 安全公司 Patchstack 于 2024 年 3 月 13 日公开披露的。在此之后,已经检测到超过 550 万次将该漏洞武器化的攻击尝试。
此外,郭盛华还发出警告称,Poll Maker 插件中存在尚未修补的问题(CVE-2024-32514,CVSS 评分:9.9)。这个问题允许经过身份验证的攻击者(具有订户级及以上访问权限)在受影响站点的服务器上上传任意文件,从而极有可能导致远程代码执行

© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容