WordPress：严重 SQLi 漏洞威胁 200K+ 网站

一个名为 Ultimate Member 的流行 WordPress 插件中披露了一个严重的安全漏洞，该插件拥有超过 200,000 个活跃安装。

该漏洞被跟踪为 CVE-2024-1071，CVSS 得分为 9.8（满分 10 分）。安全研究员克里斯蒂安·斯维尔斯（Christiaan Swiers）因发现并报告了该漏洞而受到赞誉。

在上周发布的一份公告中，WordPress 安全公司 Wordfence 表示，该插件“由于对用户提供的参数的转义不足以及对现有 SQL 查询缺乏充分准备，因此容易受到 2.1.3 至 2.8.2 版本中的'排序'参数的 SQL 注入的影响。

因此，未经身份验证的攻击者可利用此缺陷将其他 SQL 查询追加到现有查询中，并从数据库中提取敏感数据。

值得注意的是，该问题仅影响在插件设置中选中“为 usermeta 启用自定义表”选项的用户。

继 2024 年 1 月 30 日负责任地披露后，插件开发人员已在 2 月 19 日发布 2.8.3 版时提供了该漏洞的修复程序。

建议用户尽快将插件更新到最新版本，以减轻潜在威胁，特别是考虑到 Wordfence 在过去 24 小时内已经阻止了一次试图利用该漏洞的攻击。

2023 年 7 月，威胁行为者积极利用同一插件的另一个缺点（CVE-2023-3460，CVSS 评分：9.8）创建流氓管理员用户并夺取对易受攻击站点的控制权。

这一发展正值一项新活动的激增之际，该活动利用受感染的 WordPress 网站直接注入 Angel Drainer 等加密排水器，或将网站访问者重定向到包含排水器的 Web3 网络钓鱼网站。

Sucuri 研究员 Denis Sinegubko 表示：“这些攻击利用网络钓鱼策略和恶意注入来利用 Web3 生态系统对直接钱包交互的依赖，对网站所有者和用户资产安全都构成重大风险。

在此之前，还发现了一种新的排水器即服务（DaaS）计划，称为CG（CryptoGrab的缩写），该计划运行着一个由俄语，英语和中文使用者组成的10,000名成员的联盟计划。

Cyfirma在上个月底的一份报告中说，其中一个威胁行为者控制的Telegram频道“将攻击者引向一个电报机器人，使他们能够在没有任何第三方依赖的情况下运行欺诈操作。

“该机器人允许用户免费获得一个域名，为新域名克隆现有模板，设置应该发送被骗资金的钱包地址，并为该新域名提供Cloudflare保护。”

还观察到该威胁组织使用两个名为 SiteCloner 和 CloudflarePage 的自定义电报机器人来克隆现有的合法网站并分别为其添加 Cloudflare 保护。然后，这些页面主要使用受感染的 X（以前称为 Twitter）帐户进行分发。