歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
駭侵者利用已公開的 WordPress 外掛程式漏洞發動大規模攻擊
2023 / 05 / 15
編輯部
資安廠商 Patchstack 近期發現一個 WordPress 外掛程式漏洞 CVE-2023-30777,在該廠商公布相關漏洞資訊後短短 24 小時,就開始遭到駭侵者藉以大量發動攻擊。
該漏洞 CVE-2023-30777 存於一個獲得廣泛採用的 WordPress 外掛程式(Plugin)Advanced Custom Files,屬於高危險性的跨站指令碼攻擊(Cross-site scripting, XSS)漏洞;未經授權的攻擊者可透過該漏洞竊取機敏資訊,並且在受到攻擊的 WordPress 網站中提升自身的執行權限。
該漏洞的 CVSS 危險程度評分為 7.1 分(滿分為 10 分),危險程度評級為「高」(High);Patchstack 於 2023 年 5 月 2 日發現此漏洞,並在 3 天後的 5 月 5 日公布漏洞相關細節與攻擊用的概念驗證(proof of concept)。Advanced Custom Field 外掛程式的開發者則是在 Patchstack 推出概念驗證前一天完成該外掛程式的修復,並且推出更新版本 6.1.6。
然而根據網路基礎建設業者 Akamai 旗下資安團隊的報告指出,該團隊自 5 月 6 日起開始觀察到大量使用 Patchstack 攻擊概念驗證程式碼發動的攻擊活動;報告指出駭侵者直接拷貝了 Patchstack 撰寫的程式碼,針對眾多 WordPress 網站發動攻擊。
據估計,目前仍在使用舊版未更新 Advanced Custom Fields 外掛程式的 WordPress 網站,高達 140 萬個之多,因此給駭侵者很大的攻擊空間。
建議使用 Advanced Custom Fields 外掛程式的 WordPress 網站管理員,應立即將該外掛程式更新到 5.12.6、6.1.6 或後續版本,以避免遭到攻擊。
本文轉載自TWCERT/CC。
CVE-2023-30777
跨站指令碼攻擊
XSS
WordPress
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.21
漢昕科技X線上資安黑白講【零信任資安:從身份驗證、裝置管理到網路存取全方位防護】2025/5/21全面開講!
2025.05.28
資安事件分析與惡意封包分析
2025.06.07
踏入資安界的第一步! 資安人才培育計畫:【資安顧問師】與【資安維運工程師】熱烈招生中
2025.06.08
【三天密集培訓】iPAS 資訊安全工程師中級證照培訓班
看更多活動
大家都在看
華碩 DriverHub 驚爆遠端程式碼執行漏洞 攻擊者可透過惡意網站一鍵入侵
第七期國家資通安全發展方案出爐!政府攜手產業建構數位信賴社會
英國發布軟體安全實務守則,重塑軟體開發標準
Meta 推 LlamaFirewall 框架以防止 AI 越獄、注入攻擊及不安全程式碼
HPE擴展零信任網路與私有雲營運解決方案,重新定義雲端安全
資安人科技網
文章推薦
報告:台灣87% 惡意檔案來自電郵 企業需加強郵件防護
第七期國家資通安全發展方案出爐!政府攜手產業建構數位信賴社會
華碩 DriverHub 驚爆遠端程式碼執行漏洞 攻擊者可透過惡意網站一鍵入侵