WordPress Automatic插件漏洞允许完全接管网站，已观察到数百万次攻击尝试

近日，黑客们正在试图利用一个严重WordPress插件漏洞进行攻击。安全研究员表示，该漏洞允许完全接管网站，黑客们已经进行了数百万次攻击尝试。这一漏洞存在于WordPress的Automatic插件中，该插件目前安装在超过30000个网站上，被管理员用于整合来自其他网站的内容——自动从各种在线来源导入内容（如文本、图像、视频）并发布到其WordPress网站上。据PatchStack研究人员披露，该漏洞（CVE-2024-27956，CVSS评分9.9）属于SQL注入漏洞，源自Web应用程序未正确查询后端数据库，影响所有早于WP Automatic 3.9.2.0的版本。漏洞在于WP-Automatic插件对用户认证机制的处理不当，攻击者能够使用特制请求绕过该机制，以向网站数据库执行恶意SQL查询，并创建新的管理员账户。在这之后，攻击者可以上传恶意文件（通常是Web shell或后门）到受感染网站的服务器。WPScan表示， ………………………………