Всего через день после выпуска эксплойта для подтверждения концепции (PoC) были замечены киберпреступники, использующие известную уязвимость высокой степени серьезности в популярном плагине WordPress.
Исследователи кибербезопасности PatchStack обнаружили уязвимость межсайтового скрипта (XSS) в Advanced Custom Fields, популярном плагине для создания веб-сайтов WordPress. (откроется в новой вкладке)с более чем двумя миллионами активных установок.
Ошибка, отслеживаемая как CVE-2023-30777, позволяла злоумышленникам красть конфиденциальные данные посетителей, а в некоторых случаях полностью завладевать веб-сайтом.
Быстро развивающиеся мошенники
PatchStack обнаружил уязвимость 2 мая и выпустил отчет вместе с PoC 5 мая. Тем временем компания Delicious Brains, поставщик подключаемого модуля, выпустила обновление безопасности и обновила подключаемый модуль до версии 6.1.6.
Теперь мошенники делают ставку на то, что большинство администраторов веб-сайтов еще не обновили свои виртуальные свойства, что сделает их веб-сайт уязвимым для этой ошибки 6.1/10.
«Akamai SIG проанализировала данные об атаках XSS и выявила атаки, которые начались в течение 24 часов после выпуска PoC эксплойта», — говорится в отчете компании. «Что особенно интересно в этом, так это сам запрос: злоумышленник скопировал и использовал пример кода стека патчей из сообщения».
Официальная статистика WordPress.org гласит, что менее трети всех пользователей (31,7%) обновили плагин до версии 6.1. версии, что означает, что хакеры могут атаковать целый ряд веб-сайтов. В отчете BleepingComputer говорится, что по крайней мере 1,4 миллиона веб-сайтов все еще уязвимы для этой ошибки XSS.
«Эта уязвимость позволяет любому неавторизованному пользователю [to steal] «Конфиденциальная информация в этом случае повышает привилегии на сайте WordPress, обманом заставляя привилегированного пользователя посетить скомпрометированный URL-адрес», — сказал Патчстак. «Эта уязвимость может быть вызвана стандартной установкой или конфигурацией плагина Advanced Custom Fields. «XSS также может запускаться только вошедшими в систему пользователями, у которых есть доступ к плагину Advanced Custom Fields», — заключили исследователи.
Это четвертая серьезная уязвимость, обнаруженная в этом плагине за последние годы.
Выше: Пищит компьютер (откроется в новой вкладке)
