Bleeping Computer 网站披露，某新型恶意软件冒充合法缓存插件来攻击 WordPress 网站，允许威胁攻击者创建管理员账户控制网站的活动。 据悉，该恶意软件具有多种功能，不仅能够管理插件，在被攻击网站上隐藏自身的活动插件，还可以替换内容或将某些用户重定向到其它恶意链接上。 “假冒”插件具体详情 7 月份，WordPress 的 Wordfence 安全插件制造商 Defiant 公司安全分析师，在清理一个网站时发现了这个新恶意软件。经研究人员仔细观察分析，发现该恶意软件 “带有专业的开头注释”，以伪装成缓存工具（缓存工具通常有助于减少服务器压力和提高页面加载时间）。 值得一提的是，恶意软件可能是在故意模仿缓存工具，以确保在人工检查时不会被发现。此外，恶意插件还被设置为将自己排除在 “活动插件 “列表之外，以此逃避检查。 恶意软件具有以下功能： 创建用户：创建一个名为 “superadmin “的用户，该用户拥有硬编码密码和管理员级权限，第二个功能是删除该用户以清除感染痕迹。 在网站上创建恶意管理员用户（Wordfence） 机器人检测：当访客被识别为机器人（如搜索引擎爬虫）时，恶意软件会向它们提供不同的内容，如垃圾邮件，导致它们索引被入侵网站的恶意内容。因此，管理员可能会看到流量突然增加，或用户报告抱怨被重定向到恶意位置。 内容替换：恶意软件可以更改帖子和页面内容，插入垃圾链接或按钮。网站管理员会收到未修改的内容，以延迟网络攻击者入侵的现象。 插件控制：恶意软件操作员可以远程激活或停用被入侵网站上的任意 WordPress 插件。不仅如此，恶意软件还会清除网站数据库中的痕迹。 控制插件的激活/停用（Wordfence） 远程调用：恶意软件能够检查特定用户的代理字符串，允许网络攻击者远程激活各种恶意功能。 研究人员在一份报告中表示，在以牺牲网站自身的搜索引擎优化排名和用户隐私为代价前提下，上述功能为网络攻击者提供了远程控制受害网站并使其货币化所需的一切条件。 目前，Defiant 没有提供任何有关被新恶意软件入侵网站数量的详细信息，其研究人员也尚未确定最初的访问载体，但已为 Wordfence 免费版用户发布了检测签名，并添加了防火墙规则，以保护高级版、关怀版和响应版用户免受后门攻击。 入侵网站的典型方法包括窃取凭证、暴力破解密码或利用现有插件或主题中的漏洞。因此，网站所有者应为管理员账户使用强大的登陆凭据，保持插件更新并删除不使用的附加组件和用户。   转自Freebuf，原文链接：https://www.freebuf.com/news/380395.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，拥有 500 万安装用户的 WordPress 网站数据迁移插件 All-in-One WP Migration 存在未经身份验证的访问令牌操作漏洞，攻击者可借此访问网站敏感的数据信息。 漏洞被追踪为 CVE-2023-40004，允许未经身份验证的“用户”访问和操纵受影响扩展上的令牌配置，使网络攻击者将网站迁移数据转移到自身的第三方云服务账户或恢复恶意备份，一旦成功利用 CVE-2023-40004 ，导致包括用户详细信息、关键网站数据和专有信息等数据信息泄露。 All-in-One WP Migration 是一款流行的 WordPress 网站迁移工具，适用于非技术和经验不足的用户，允许将数据库、媒体、插件和主题无缝导出到一个易于在新目的地恢复的单个存档中。 Patchstack 表示插件供应商 ServMask 提供的各种高级扩展都包含相同的易受攻击代码片段，这些代码片段在 init 函数中缺乏权限和 nonce 验证。（该代码还存在于 Box 扩展、Google Drive 扩展、One Drive 扩展和 Dropbox 扩展中，这些扩展都是为了方便使用上述第三方平台的数据迁移过程而创建。） 好消息是，由于 All-in-One WP Migration 只在网站迁移项目中使用，通常不会在其它任何时候激活，因此在一定程度上缓解了漏洞带来的安全问题。 供应商已发布漏洞安全更新 2023 年 7 月 18 日，PatchStack 研究员拉菲-穆罕默德（Rafie Muhammad）发现了 CVE-2023-40004 漏洞，随后便报告给了 ServMask 。2023 年 7 月 26 日，供应商 ServMask 发布了安全更新，为 init 函数引入了权限和非 nonce 验证。 已应用的补丁（Patchstack） 建议受影响的第三方扩展用户升级到以下修复版本： Box 扩展：v1.54 Google Drive 扩展：v2.80 OneDrive 扩展：v1.67 Dropbox 扩展：v3.76 此外，研究人员还建议用户使用最新版本的（免费）基础插件 All-in-One WP Migration v7.78。     转自Freebuf，原文链接:https://www.freebuf.com/news/376712.html 封面来源于网络，如有侵权请联系删除

专家警告说，WordPress的Ninja Forms插件受到多个漏洞的影响（跟踪为CVE-2023-37979、CVE-2023-3 8386和CVE-202-3 8393），黑客可以利用这些漏洞升级权限并窃取敏感数据。 WordPress插件Ninja Forms是最受欢迎的表单生成器插件，它有超过900000个活动安装。开发人员可以使用此插件创建任何类型的表单，包括联系表单和付款表单。 第一个漏洞被追踪为CVE-2023-37979，是一个基于POST的反射XSS，未经身份验证的用户可以利用它窃取敏感信息，在本例中，可以在WordPress网站上升级权限，攻击者以此诱骗特权用户访问精心制作的网站来触发该问题。 第二个和第三个漏洞被追踪为CVE-2023-38393和CVE-2023-3 8386，是对表单提交导出功能的访问控制中断。订阅者和参与者用户可以利用这些漏洞导出WordPress网站上提交的所有Ninja表单。 这些漏洞在3.6.26版本中得到了解决。 在某些情况下，插件或主题代码需要从用户提供的字符串中调用特定的函数或类，服务商应始终检查并限制用户可以直接调用的函数或类目，还要格外注意导出数据操作，并始终对相关函数进行权限或访问控制检查。 以下是上述问题的时间表： 2023年6月22日，发现了该漏洞，并联系了插件供应商。 2023年7月4日，Inja Forms 3.6.26版发布，以修补报告的问题。 2021年7月25日将漏洞添加到Patchstack漏洞数据库中。 2021年7月27日公开发布的安全咨询文章。     转自E安全，原文链接:https://mp.weixin.qq.com/s/YXb9KvIWFZilILNTR66k2w 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞，攻击者可以通过这些漏洞实现权限提升并窃取用户数据。 2023 年 6 月 22 日，Patchstack 的研究人员向插件开发者 Saturday Drive 报告了这三个漏洞详情，并警告称漏洞会影响 NinjaForms 3.6.25 及以上版本。 2023 年 7 月 4 日，Saturday Drive 发布新版本 3.6.26 修复了漏洞问题，但根据 WordPress.org 统计数据显示只有大约一半的 NinjaForms 用户下载最新版本。（大约 40 万个网站仍未更新，可能存在被攻击的风险） 漏洞详情 Patchstack 发现的第一个漏洞是 2CVE-2023-37979，该漏洞是一个基于 POST 的反射 XSS（跨站点脚本）漏洞，允许未经身份验证的用户通过诱骗特权用户访问特制的网页，以此提升权限并窃取信息。 第二个漏洞和第三个漏洞分别被跟踪为 CVE-2023-38393 和 CVE-2023-3 8386，允许订阅服务器和贡献者导出用户在受影响的 WordPress 网站上提交的所有数据。 值得一提的是，以上漏洞都高度危险，尤其是 CVE-2023-38393 更是如此。任何支持会员资格和用户注册的网站，一旦使用易受攻击的 Ninja Forms 插件版本，都容易因该漏洞而发生大规模数据泄露事件。 包含 CVE-2023-38393 的处理功能 Saturday Drive 在 3.6.26 版本中应用的修补程序主要包括为损坏的访问控制问题添加权限检查，以及防止触发已识别 XSS 的功能访问限制。 Patchstack 报告中包含了三个漏洞的详细技术信息，因此对于懂技术的威胁攻击者来说，利用这些漏洞应该是得心应手。为防止网络攻击者利用这些漏洞，Patchstack 公开披露漏洞的时间推迟了三周多，并一再督促Ninja Form用户尽快进行修补。 最后，建议所有使用 Ninja Forms 插件的网站管理员尽快更新到 3.6.26 或以上版本，如果发现未更新的用户，管理员应该从用户的网站禁用插件，直到其应用最新补丁。     转自Freebuf，原文链接:https://www.freebuf.com/news/373286.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，超过百万 WordPress 网站使用的 All-In-One Security（AIOS）WordPress安全插件被曝将用户尝试登录的明文密码记录到网站数据库中，此举可能危及账户安全。 AIOS 是 Updraft 开发的一体式解决方案，主要为 WordPress 网站提供网络应用程序防火墙、内容保护和登录安全工具，以阻止机器人并防止暴力攻击。 大约在三周前，一位用户反应 AIOS v5.1.9 插件不仅将用户尝试登录记录到 aiowps_audit_log 数据库表中，用于跟踪登录、注销和失败的登录事件，还记录了用了输入的密码。该用户担心此举违反了包括NIST 800-63 3、ISO 27000和GDPR在内的多项安全合规标准， 漏洞的初步报告（wordpress.org） 接到反馈后，Updraft 方面回应称该问题是一个 “已知错误”，并含糊地承诺将在下一个版修复问题。在意识到问题的严重性后，Updraft 支持人员两周前向相关用户提供了即将发布的开发版，但是试图安装开发版的用户仍指出密码日志没有被删除。 修复程序现已发布 7 月 11 日，AIOS 供应商发布了 5.2.0 版本，其中包括一个防止保存明文密码并清除旧条目的修复程序。AIOS 供应商在公告中一再强调 AIOS 发布的 5.2.0 版本更新版本修复了 5.1.9 版本中存在的一个错误，该错误导致用户密码以明文形式添加到 WordPress 数据库中。 一旦“恶意”网站管理员在用户可能使用相同密码的其他服务上尝试利用这些密码，此举会带来一些安全问题。此外，一旦被暴露者的登录信息在这些平台上没有受到双因素身份验证的保护，“恶意”管理员就可以轻易接管用户的账户。 除了“恶意”管理员带来的安全风险外，使用 AIOS 的网站还将面临黑客入侵的风险，这些黑客一旦获得网站数据库访问权限，便有可能会以明文形式泄露用户密码。 截止到文章发布，WordPress.org 统计数据显示大约四分之一的 AIOS 用户已将更新应用 5.2.0 版本，因此推算大概仍有超过 75 万个网站处于易受攻击状态。 更不幸的是，WordPress 一直以来都是网络攻击者的攻击目标，一些使用 AIOS 的网站可能已经被泄露，再加上该安全问题已经在网上传播了三周多，且 Updraft 没有警告用户暴露风险的增加，因此，可能已经发生了一些安全威胁事件。 最后，使用 AIOS 的网站应该尽快更新到最新版本，并要求用户重置密码。     转自Freebuf，原文链接:https://www.freebuf.com/news/372245.html 封面来源于网络，如有侵权请联系删除

WordPress网站的终极会员插件中有多达20万个未修补的关键安全漏洞，如今面临着很高的攻击风险。 该漏洞被追踪为CVE-2023-3460 (CVSS得分：9.8)，影响所有版本的Ultimate Member插件，包括2023年6月29日发布的最新版本(2.6.6)。 Ultimate Member是一个比较受欢迎的插件，它有助于在WordPress网站上创建用户配置文件和社区，并可提供帐户管理功能。 WordPress安全公司WPScan在警报中提到，这是一个非常严重的问题，因为未经身份验证的攻击者可能会利用这个漏洞创建具有管理权限的新用户帐户，从而实现夺取网站的完全控制权。 但该漏洞源于不适当的阻止列表逻辑，所以无法将新用户的wp_capabilities用户元值更改为管理员的用户元值，从而获得对站点的完全访问权。 Wordfence研究员Chloe Chamberland称，虽然该插件有一个预先定义的禁用键列表。但还有一些更简单的方法可以绕过过滤器，例如在插件的易受攻击版本中利用各种大小写，斜杠和提供的元键值中的字符编码。 有报道称，受影响的网站上出现了一些非法管理员账户，因此该插件在2.6.4、2.6.5和2.6.6版本发布了部分修复程序，还有一个新的版本更新预计将在未来几天发布。 WPScan指出，这些补丁是不完整的，已经发现了许多绕过它们的方法，这意味着该漏洞仍然可以被积极利用，比如，该漏洞被用于以apadmins、se_野蛮、segs_野蛮、wpadmins、wpengine_backup和wpenginer等名称注册新帐户，通过网站的管理面板上传恶意插件和主题。 此外WPScan还建议广大用户，直到该安全漏洞被完全修复前，都建议Ultimate Member的用户禁用该插件，最好审计网站上的所有管理员级用户，以确定是否添加了未经授权的帐户。 终极会员2.6.7版发布 7月1日，Ultimate Member的作者发布了该插件的2.6.7版本，以解决被积极利用的特权升级漏洞。作为一项额外的安全措施，他们还计划在插件中发布一个新功能，使网站管理员能够重置所有用户的密码。 此外， 网站维护人员还表示：2.6.7引入了我们在发送表单时存储的元键白名单，并且分离了表单设置数据和提交数据，可在两个不同的变量中操作它们。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370917.html 封面来源于网络，如有侵权请联系删除

CyberNews最近刊载了一篇文章，较为详细地披露了一项针对WordPress的恶意软件注入活动“Balada”，该活动已经渗透了超过100万个网站。 2023 年 4 月，Bleeping Computer 和 TechRadar 等科技媒体开始报道网络攻击者利用漏洞攻击了WordPress，通过通过流行插件 Elementor Pro Premium（网页生成器）和 WooCommerce（在线店面）组合获得访问权限。 据悉，该漏洞的CVSS 分数达到了8.8分，但到 2023 年 5 月，官方 CVE 编号仍未确定。建议运行 Elementor Pro 3.11.6 或更早版本以及激活WooCommerce 插件的网站将 ElementorPro 至少升级到 3.11.7，否则面临认证用户通过利用受损的访问控制实现对网站完全控制的风险，这也是 OWASP 十大风险中最严重的风险。 虽然有关此漏洞的报告已在互联网上广泛传播，但本文将重点关注广泛且高度持久的恶意软件注入活动“Balada”。 什么是Balada 网络安全公司 Sucuri 自 2017 年以来一直在跟踪 Balada注入活动，但直到最近才给这个长期运行的活动命名。 Balada 通常利用已知但未修补的WordPress插件和其他软件漏洞等方式实现初始感染，然后通过执行一系列编排好的攻击策略、跨网站感染和安装后门来传播并保持持久性。 由于Elementor Pro 和 WooCommerce 妥协路径允许经过身份验证的用户修改 WordPress 配置，创建管理员帐户或将 URL 重定向注入网站页面或帖子，Balada可以窃取数据库凭据、存档文件、日志数据或未得到充分保护的有价值文档，同时建立大量命令和控制 (C2) 通道以实现持久性。 Sucuri指出，Balada 注入活动遵循一个确定的月度时间表，通常在周末开始，在周中左右结束。 Balada 主要利用基于 Linux 的主机，但基于 Microsoft 的 Web 服务器（如 IIS）也不能幸免。Balada 遵循其他当代恶意软件活动中的做法，利用由随机、不相关的词组成的新注册域来吸引受害者点击并将其重定向到提供恶意负载的网站。 这些网站通常会以虚假的IT支持服务、现金奖励通知、甚至像CAPTCHAs这样的安全验证服务为幌子。图一总结了Balada将寻求利用的初始攻击载体、试图滥用的服务或插件以及一些公认的持久性载体。巴拉达一旦植入，将很难移除。 图一：针对 WordPress CMS 的基本 Balada 注入工作流程和功能 识别 Balada 注入 Sucuri 的研究进一步证实，Balada 的主要恶意软件例程通常位于受感染设备上的“ C:/Users/host/Desktop/balada/client/main.go”路径。一个半维护的Virus Total集合突出显示了与 Balada 提供的恶意软件及其感染相关的常见文件哈希、URL 和其他指标。 Sucuri还在被入侵的机器日志中反复观察到，从2020年底开始，Balada利用一个过时但反复出现的用户代理 “Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36″。自 2017 年以来，Balada 活动已与 100 多个独特域相关联。Balada 利用“ main.ex_domains ”功能来存储和重用域，以便在每月的感染活动中进行未来攻击。图二的列表突出显示了在最近分析的Balada注入活动中观察到的一小部分常见域。 图二：Balada注入活动中观察到的一小部分常见域 防御措施 对于预防 Balada 感染，除了确保网络服务器主机、网站插件、主题或相关软件保持最新状态，还应该通过 Cisco Umbrella 或 DNSFilter 等解决方案确保DNS 安全可靠。这些功能可以提供网络级或漫游客户端解决方案，以识别、阻止重定向尝试和已知恶意网站的DNS请求。 企业还应该执行强密码政策，特权用户必须满足多因素认证或其他有条件的访问政策，创建特权账户应向有关团队发出提醒。此外企业还应考虑实施或定期评估以下内容： 定期审核 Web 应用程序必要的插件、主题或软件，删除所有不必要或未使用的软件。 针对 Web 应用程序进行内部和常规渗透测试或类似评估，以在 Balada 之前识别可利用的弱点。 对关键系统文件启用文件完整性监控 (FIM)。 严格限制对 wp-config、网站备份数据、日志文件或数据库存档等敏感文件的访问，并确保数据保留策略在不再需要时清除此数据的旧版本。 禁用不必要的或不安全的服务器服务和协议，如 FTP。     转自 Freebuf，原文链接：https://www.freebuf.com/news/369456.html 封面来源于网络，如有侵权请联系删除

在发现安全漏洞后，安全人员敦促WordPress高级自定义插件的用户更新版本6.1.6。 该漏洞被标识为 CVE-2023-30777，与反射式跨站点脚本 （XSS） 的情况有关，该漏洞可被滥用向其他良性网站注入任意可执行脚本。 该插件有免费和专业两个版本，有超过两百万的安装。该漏洞于2023年5月2日被发现并报告给维护人员。 Patchstack研究员Rafie Muhammad说：该漏洞允许任何未经认证的用户窃取敏感信息，在这种情况下，通过诱使有特权的用户访问特制的URL路径，在WordPress网站上进行特权升级。 反射式XSS攻击通常发生在，受害者被骗点击电子邮件或其他途径发送的假链接，导致恶意代码被发送到易受攻击的网站，该网站将攻击反射到用户的浏览器上。 这种社会工程元素意味着反射式XSS不具有与存储式XSS攻击相同的覆盖范围和规模，因此攻击者将恶意链接分发给尽可能多的受害者。 Imperva指出：反射式XSS攻击通常是由于传入的请求没有得到充分的净化，从而允许操纵网络应用程序的功能和激活恶意脚本。 值得注意的是，CVE-2023-30777可以在Advanced Custom Fields的默认安装或配置上激活，尽管只有对该插件有访问权限的登录用户才有可能这样做。 Craft CMS修补了两个中等强度的XSS漏洞（CVE-2023-30177和CVE-2023-31144），攻击者可以利用这些漏洞提供恶意的有效载荷。 此外，cPanel 产品中还披露了另一个 XSS 漏洞（CVE-2023-29489，CVSS 分数：6.1），该漏洞可以在没有任何身份验证的情况下被利用来运行任意 JavaScript。 Assetnote的Shubham Shah说：攻击者不仅可以攻击cPanel的管理端口，还可以攻击运行在80和443端口的应用程序。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365809.html 封面来源于网络，如有侵权请联系删除

攻击者正在使用Eval PHP，一个过时的WordPress插件，通过注入隐蔽的后门来破坏网站。 Eval PHP是一个废弃的WordPress插件，它允许网站管理员在WordPress网站的页面和文章中嵌入PHP代码，然后在浏览器中打开页面时执行该代码。 该插件在过去十年中没有更新，被默认为是废弃软件，但它仍然可以通过WordPress的插件库下载。 据网站安全公司Sucuri称，使用Eval PHP在WordPress页面上嵌入恶意代码的迹象在2023年4月激增，现在WordPress插件平均每天有4000个恶意安装。 与传统的后门注入相比，这种方法的主要优点是，Eval PHP可以被重新使用，以重新感染被清理过的网站，而且相对隐蔽。 隐蔽的数据库注入 在过去几周检测到的PHP代码注入为攻击者提供了一个后门，使攻击者对被攻击的网站具有远程代码执行能力。 恶意代码被注入到目标网站的数据库中，特别是 “wp_posts “表中。这使得它更难被发现，因为它逃避了标准的网站安全措施，如文件完整性监控、服务器端扫描等。 为了做到这一点，攻击者使用一个被破坏的或新创建的管理员账户来安装Eval PHP，允许他们使用[evalphp]短代码将PHP代码插入被破坏网站的页面中。 一旦代码运行，则将后门（3e9c0ca6bbe9.php）放置在网站根部。后门的名称在不同的攻击中可能有所不同。 恶意的Eval PHP插件安装是由以下IP地址触发的： 91.193.43.151 79.137.206.177 212.113.119.6 该后门不使用POST请求进行C2通信以逃避检测，相反，它通过cookies和GET请求传递数据，没有可见参数。 Sucuri强调有必要将旧的和未维护的插件除名，因为威胁者很容易滥用这些插件来达到恶意目的，并指出Eval PHP并不是唯一有风险的插件。 在WordPress插件库删除该插件之前，建议网站调整他们的管理面板，保持他们的WordPress安装是最新版本，并使用Web应用防火墙。     转自 Freebuf，原文链接：https://www.freebuf.com/news/364328.html 封面来源于网络，如有侵权请联系删除

黑客正在积极利用流行的Elementor Pro WordPress插件中的高危漏洞，该插件已被超过1200万个网站使用。 Elementor Pro是一款WordPress页面构建器插件，允许用户轻松构建专业外观的网站而无需了解编码知识，具有拖放、主题构建、模板集合、自定义小部件支持以及面向在线商店的WooCommerce构建器等功能。 这个漏洞是由NinTechNet研究员Jerome Bruandet于2023年3月18日发现的，并在本周分享了关于如何利用与WooCommerce一起安装时可以利用此漏洞的技术细节。 该漏洞影响v3.11.6及其之前的所有版本，允许像商店客户或网站成员这样的经过身份验证的用户更改网站设置甚至完全接管网站。 经过身份验证的攻击者可以利用此漏洞创建管理员帐户，方法是启用注册并将默认角色设置为’管理员’、更改管理员电子邮件地址或通过更改siteurl将所有流量重定向到外部恶意网站等多种可能性。 需要注意的是，要利用这个特定漏洞，网站上还必须安装WooCommerce插件，才能激活Elementor Pro上相应的易受攻击模块。 Elementor插件漏洞正在被积极利用 WordPress安全公司PatchStack现在报告称黑客正在积极利用这个Elementor Pro插件漏洞将访问者重定向到恶意域名（”away[.]trackersline[.]com”）或上传后门到被攻击的网站中。 此后门将允许攻击者完全访问WordPress网站，无论是窃取数据还是安装其他恶意代码。PatchStack表示，大多数针对易受攻击的网站的攻击来自以下三个IP地址，建议将它们添加到阻止列表中：193.169.194.63、193.169.195.64和194.135.30.6。如果您的网站使用Elementor Pro，则必须尽快升级到3.11.7或更高版本（最新版本为3.12），因为黑客已经开始针对易受攻击的网站进行攻击。       转自 Freebuf，原文链接：https://www.freebuf.com/news/362558.html 封面来源于网络，如有侵权请联系删除