黑客利用 WordPress 礼品卡插件功能执行CVE-2022-45359漏洞5万余次01WordPressWordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。
也可以把 WordPress当作一个内容管理系统(CMS)来使用WordPress是一款个人博客系统,并逐步演化成一款内容管理系统软件,它是使用PHP语言和MySQL数据库开发的,用户可以在支持 PHP 和 MySQL数据库的服务器上使用自己的博客。
WordPress有许多第三方开发的免费模板,安装方式简单易用不过要做一个自己的模板,则需要你有一定的专业知识比如你至少要懂的标准通用标记语言下的一个应用HTML代码、CSS、PHP等相关知识WordPress官方支持中文版,同时有爱好者开发的第三方中文语言包,如wopus中文语言包。
WordPress拥有成千上万个各式插件和不计其数的主题模板样式02CVE-2022-45359黑客正积极瞄准YITH WooCommerce Gift Cards Premium的一个关键缺陷,这个WordPress插件在超过5万个网站上使用。
YITH WooCommerce Gift Cards Premium是一个插件,网站运营商可以在他们的网上商店销售礼品卡利用这个被追踪为CVE-2022-45359(CVSS v3: 9.8)的漏洞,允许未经认证的攻击者将文件上传到易受攻击的网站,包括提供对网站完全访问的网络外壳。
CVE-2022-45359于2022年11月22日向公众披露,影响到3.19.0以下的所有插件版本解决该问题的安全更新是3.20.0版本,而供应商到现在已经发布了3.21.0,这是推荐的升级目标不幸的是,许多网站仍然使用旧的、易受攻击的版本,而黑客已经设计出一个可行的漏洞来攻击它们。
据Wordfence的WordPress安全专家称,利用该漏洞的工作正在顺利进行,黑客利用该漏洞在网站上上传后门,获得远程代码执行,并进行接管攻击03被积极利用于攻击中Wordfence对黑客在攻击中使用的一个漏洞进行了
此外,这个函数在脆弱版本中不执行CSRF或能力检查这两个问题使得未经认证的攻击者有可能使用适当的参数向"/wp-admin/admin-post.php "发送POST请求,在网站上上传恶意的PHP可执行文件。
"攻击者只需发送一个包含页面参数t_csv的有效载荷的请求,这很容易。
" - Wordfence
图 1CVE-2022-45359漏洞代码(Wordfence)恶意请求在日志上显示为来自未知IP地址的意外POST请求,这应该是网站管理员受到攻击的一个信号Wordfence发现的上传文件有以下几个l kon.php/1tes.php - 这个文件在内存中从一个远程位置(shell[.]prinsh[.]com)加载 "marijuana shell "文件管理器的副本。
l b.php - 简单的上传程序文件l admin.php - 有密码保护的后门大多数攻击发生在11月,管理员可以修补这个漏洞,但在2022年12月14日观察到第二个高峰IP地址103.138.108.15是一个重要的攻击源,对10936个网站发起了19604次利用尝试。
下一个最大的IP地址是188.66.0.135,它对928个WordPress网站进行了1220次攻击攻击企图仍在进行,因此建议YITH WooCommerce Gift Cards Premium插件的用户尽快升级到3.21版本。
WooCommerce Giftcard举报/反馈