就在概念验证(PoC)漏洞发布一天后,网络犯罪分子被发现滥用流行WordPress插件中的一个已知的高严重性漏洞。PatchStack的网络安全研究人员在AdvancedCustomFields中发现了跨站点脚本(XSS)漏洞,AdvancedCustomFields是WordPress网站构建器的流行插件,活跃安装量超过200万。
该漏洞被追踪为CVE-2023-30777,允许威胁行为者窃取访问者的敏感数据,并在某些情况下完全接管网站。
PatchStack于5月2日发现了该漏洞,并于5月5日与PoC一起发布了报告。与此同时,该插件的运营商DeliciousBrains发布了安全更新,将该插件带到了6.1.6版本。
现在,骗子押注于大多数尚未更新其虚拟资产的网站管理员,这将使他们的网站容易受到此6.1/10缺陷的影响。
该公司的报告称:“AkamaiSIG分析了XSS攻击数据,并识别了漏洞PoC公开后24小时内发起的攻击。”“特别有趣的是查询本身:威胁行为者复制并使用了文章中的Patchstack示例代码。”
WordPress.org官方统计数据表明,只有不到三分之一的用户(31.7%)将插件更新到了6.1。版本,这意味着黑客有相当多的网站可以攻击。BleepingComputer的报告指出,至少140万个网站仍然容易受到此XSS缺陷的影响。
Patchstack表示:“这个漏洞允许任何未经身份验证的用户窃取敏感信息,在这种情况下,可以通过欺骗特权用户访问精心设计的URL路径来提升WordPress网站的权限。”研究人员总结道:“默认安装或配置高级自定义字段插件时可能会触发此漏洞。XSS也只能由有权访问高级自定义字段插件的登录用户触发。”