慢雾：警惕恶意攻击者利用 WordPress 插件漏洞发起的水坑攻击

慢雾：警惕恶意攻击者利用WordPress插件漏洞发起的水坑攻击慢雾安全提醒，近期有攻击者利用WordPress插件漏洞攻击正常的站点，然后在站点中注入恶意的js代码，发起水坑攻击，在用户访问站点时弹出恶意弹窗，骗取用户执行恶意的代码或进行Web3钱包签名，从而盗取用户的资产。建议有使用WordPress插件的站点注意排查是否存在漏洞，及时更新插件，避免被攻击；用户在访问任何站点的时候，要仔细识别下载的程序以及Web3签名的内容，避免下载到恶意程序或因授权了恶意的签名导致资产被盗。

WordPress 插件 ACF 被曝高危漏洞

WordPress插件ACF被曝高危漏洞AdvancedCustomFields（ACF）是一款使用频率较高的WordPress插件，已在全球超过200万个站点安装，近日曝光该插件存在XSS（跨站点脚本）的高危漏洞。ACF的这个XSS漏洞允许网站在未经站长允许的情况下，未授权用户潜在地窃取敏感信息。恶意行为者可能会利用插件的漏洞注入恶意脚本，例如重定向、广告和其他HTML有效负载。如果有用户访问被篡改的网站之后，用户设备就会感染并执行恶意脚本。目前官方已经发布了6.16版本更新，修复了上述漏洞。来源，来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

数千个 WordPress 网站因 tagDiv 插件漏洞遭到黑客攻击

数千个WordPress网站因tagDiv插件漏洞遭到黑客攻击千个运行WordPress内容管理系统的网站已被一个多产的黑客攻击，黑客利用了一个广泛使用的插件中最近修补的漏洞。该易受攻击的插件称为tagDivComposer，是使用两个WordPress主题（和）的强制要求。这些主题可通过ThemeForest和Envato市场获得，下载量超过155,000次。该漏洞编号为CVE-2023-3169，是所谓的跨站点脚本(XSS)缺陷，允许黑客将恶意代码注入网页。该漏洞由越南研究员发现，严重程度为7.1级（满分10级）。该漏洞在tagDivComposer4.1版中部分修复，并在4.2版中完全修补。Source:ViaHuaHua投稿：@ZaiHuaBot频道：@TestFlightCN

WordPress 第三方插件“Ultimate Member”存在未修复的零日提权漏洞

WordPress第三方插件“UltimateMember”存在未修复的零日提权漏洞WordPress的UltimateMember插件存在未修复的漏洞，可导致特权提升，潜在地授予攻击者对受影响站点的完全访问权限。该插件的2.6.6版本受到影响，并且目前正在被积极利用。建议用户在完整的修补程序发布之前卸载该插件。妥协指标包括新的管理员用户帐户、特定IP地址和exelica.com域名。Wordfence提供网站清理服务以及使用其插件进行清理的说明，该漏洞对于这个插件的20万个安装构成了严重风险。所有的WordPress网站管理员应立即采取措施，以减轻威胁。消息来源：投稿：@ZaiHuaBot频道：@TestFlightCN

多个 WordPress 插件在持续的供应链攻击中被植入后门

多个WordPress插件在持续的供应链攻击中被植入后门安全研究人员周一表示，多达36,000个网站上运行的WordPress插件在来源不明的供应链攻击中被植入后门。用户安装后该更新会自动创建一个由攻击者控制的管理帐户，该帐户可以完全控制受感染的站点，更新还添加了旨在提高搜索结果的内容。目前已确认有5个插件受影响，如有安装请尽快卸载，并仔细检查相关网站是否有最近创建的管理员帐户以及恶意或未经授权的内容。此外，建议检查网站是否有来自IP地址94.156.79.8的连接以及用户名为Options或PluginAuth的管理员帐户。关注频道@ZaiHuaPd频道爆料@ZaiHuabot