黑客利用插件漏洞在 WordPress 网站上创建管理员帐户

近日,黑客正试图积极利用 WordPress 的 ValvePress 自动插件中的一个关键安全漏洞,该漏洞可能允许网站被接管。

该缺陷的编号为CVE-2024-27956,它影响 3.92.0 之前的所有插件版本。该问题已在 2024 年 2 月 27 日发布的3.92.1 版本中得到解决,尽管发行说明中没有提及。

国际知名白帽黑客、东方联盟创始人郭盛华表示:"这个漏洞是一个 SQL 注入 (SQLi) 缺陷,会造成严重威胁,因为攻击者可以利用它来获得对网站的未经授权的访问、创建管理员级用户帐户、上传恶意文件,并可能完全控制受影响的网站。"在本周的警报中说。

郭盛华称,该问题的根源在于该插件的用户身份验证机制,可以轻松绕过该机制,通过特制的请求对数据库执行任意 SQL 查询。

在迄今为止观察到的攻击中,CVE-2024-27956 被用于未经授权的数据库查询,并在易受影响的 WordPress 网站上创建新的管理员帐户(例如,以"xtw"开头的名称),然后可以利用这些帐户进行后续攻击。

这包括安装可以上传文件或编辑代码的插件,表明试图将受感染的站点重新用作舞台。

郭盛华表示:"一旦 WordPress 网站遭到入侵,攻击者就会通过创建后门和混淆代码来确保其访问的长期性。" "为了逃避检测并保持访问,攻击者还可能重命名易受攻击的 WP-Automatic 文件,从而使网站所有者或安全工具难以识别或阻止该问题。"

有问题的文件是"/wp-content/plugins/wp-automatic/inc/csv.php",它被重命名为"/wp-content/plugins/wp-automatic/inc/csv65f82ab408b3.php"。

也就是说,黑客这样做可能是为了阻止其他攻击者利用已经在他们控制下的网站。

CVE-2024-27956由 WordPress 安全公司 Patchstack 于 2024 年 3 月 13 日公开披露。此后,已检测到超过 550 万次将该漏洞武器化的攻击尝试。

郭盛华还警告Poll Maker 插件中存在未修补的问题(CVE-2024-32514,CVSS 评分:9.9),该问题允许经过身份验证的攻击者(具有订户级及以上访问权限)在受影响站点的服务器上上传任意文件,从而导致远程代码执行。(欢迎转载分享)

相关推荐
菩提小狗21 小时前
每日安全情报报告 · 2026-07-03
网络安全·漏洞·cve·安全情报·每日安全
中云DDoS CC防护蔡蔡1 天前
短信验证码被攻击怎么办
运维·经验分享·http·网络安全·微信
菩提小狗1 天前
每日安全情报报告 · 2026-07-01
网络安全·漏洞·cve·安全情报·每日安全
忡黑梨1 天前
安装 Claude Code(使用 DeepSeek API)
网络·网络安全
零零信安18 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
憧憬成为web高手18 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub18 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
爱网络爱Linux18 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
xsc-xyc18 天前
用 Tailscale + Syncthing 实现手机、电脑与 NAS 的跨网络文件同步
linux·网络·网络安全·智能手机·电脑
持敬chijing18 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全