WP Automatic WordPress 插件遭遇数百万次 SQL 注入攻击

左右滑动查看更多有研究人员披露，黑客目前正积极利用 WordPress 的 WP Automatic 插件中的一个严重漏洞来创建具有管理权限的用户账户，并植入后门以实现长期访问。WP Automatic 现已被安装在 30000 多个网站上，让管理员自动从各种在线资源导入内容（如文本、图片、视频），并在 WordPress 网站上发布。该漏洞被认定为 CVE-2024-27956，严重程度为 9.9/10。3 月 13 日，PatchStack 漏洞缓解服务的研究人员公开披露了这一漏洞，并将其描述为一个 SQL 注入漏洞，存在于插件的用户验证机制中，攻击者可以绕过该机制来执行恶意 SQL 查询。通过发送特制请求，攻击者还可以将任意 SQL 代码注入站点的数据库并获得提升的权限。可能影响到 3.9.2.0 之前的 WP Automatic 版本。已观察到超过 550 万次攻击尝试自 PatchStack 披露该安全问题以来，Automattic 的 WPScan 已观察到超过 550 万 ………………………………