近期,广受欢迎的 WordPress插件 Essential Addons for Elementor,被发现存在一个严重的未认证权限提升漏洞CVE202332243。据Wordfence统计,在过去的24小时内,已成功阻止200次利用该漏洞的攻击。根据 The Hacker News 的报道,攻击者可能利用这个已经被修复的漏洞来实现权限提升和任意用户密码重置,从而可能导致网站被劫持。Patchstack的研究员Rafie Muhammad指出:“这个漏洞的发生是因为密码重置功能未能验证密码重置密钥,直接更改了给定用户的密码。”
此外,Sucuri还报告提到,自三月底以来,WordPress网站也遭到了SocGholish恶意软件又称FakeUpdates的攻击。这种攻击使用了由zlib软件库提供的压缩技术来隐藏恶意软件。Sucuri研究员Denis Sinegubko表示:“恶意行为者不断提高他们的战术、技术和程序,以避开检测并延长恶意软件活动的寿命。”
面对愈演愈烈的网络安全威胁,网站管理员需及时更新插件并采取必要防护措施,以保护网站安全。对这类漏洞保持高度警觉,并确保定期检查安全补丁,已成为每个WordPress网站拥有者的重要责任。
