圈小蛙
一个名为“Ultimate Member”的流行WordPress插件被披露了一个严重的安全漏洞,该插件的活跃安装量超过20万次。
该漏洞的编号为CVE-2024-1071,CVSS评分为9.8分(满分 10 分)。安全研究人员Christiaan Swiers发现并报告了该漏洞。
在上周发布的一份公告中,WordPress安全公司Wordfence表示,该插件“很容易通过2.1.3至2.8.2版本中的‘sorting’参数进行SQL注入,原因是用户提供的参数转义不充分,而且现有SQL查询缺乏足够的准备”。
因此,未经身份验证的攻击者可以利用该漏洞将额外的 SQL 查询附加到现有查询中,并从数据库中提取敏感数据。
值得注意的是,该问题仅影响在插件设置中选中“为usermeta数据启用自定义表”选项的用户。
继2024年1月30日负责任的披露之后,插件开发人员已于2月19日发布了2.8.3版,对该漏洞进行了修复。
建议用户尽快将该插件更新到最新版本,以减轻潜在威胁,特别是考虑到Wordfence在过去24小时内已经阻止了一次试图利用该漏洞的攻击。
2023年7月,同一插件中的另一个缺陷(CVE-2023-3460,CVSS 评分:9.8)被威胁行为者积极利用,以创建流氓管理员用户并夺取易受攻击网站的控制权。
在这一事态发展之前,一种新的活动激增,这种活动利用被入侵的WordPress网站直接注入Angel Drainer等加密货币泄密程序,或将网站访问者重定向到包含泄密程序的Web3钓鱼网站。
Sucuri研究员Denis Sinegubko表示:“这些攻击利用网络钓鱼策略和恶意注入来利用Web3生态系统对直接钱包交互的依赖,给网站所有者和用户资产的安全带来重大风险。”
它还发现了一种名为 CG( CryptoGrab的缩写)的新的“挖矿即服务” (DaaS) 计划,该计划运行着一个由1万名成员组成的强大联盟项目,由讲俄语、英语和汉语的使用者组成。
Cyfirma在上个月底的一份报告中表示,其中一个由攻击者控制的Telegram频道“将攻击者推荐了一个Telegram机器人,使他们能够在没有任何第三方依赖的情况下进行欺诈操作” 。
“该机器人允许用户免费获得一个域名,为新域名克隆一个现有模板,设置诈骗资金应该发送的钱包地址,还为该新域名提供Cloudflare保护”。
据观察,该威胁组织还使用了两个名为SiteCloner和CloudflarePage的定制电报机器人,分别克隆现有的合法网站并为其添加 Cloudflare 保护。然后,这些网页主要通过被入侵的 X(前 Twitter)账户进行传播。