駭侵者利用已公開的 WordPress 外掛程式漏洞發動大規模攻擊

資安廠商 Patchstack 近期發現一個 WordPress 外掛程式漏洞 CVE-2023-30777，在該廠商公布相關漏洞資訊後短短 24 小時，就開始遭到駭侵者藉以大量發動攻擊。

該漏洞 CVE-2023-30777 存於一個獲得廣泛採用的 WordPress 外掛程式（Plugin）Advanced Custom Files，屬於高危險性的跨站指令碼攻擊（Cross-site scripting, XSS）漏洞；未經授權的攻擊者可透過該漏洞竊取機敏資訊，並且在受到攻擊的 WordPress 網站中提升自身的執行權限。

該漏洞的 CVSS 危險程度評分為 7.1 分（滿分為 10 分），危險程度評級為「高」（High）；Patchstack 於 2023 年 5 月 2 日發現此漏洞，並在 3 天後的 5 月 5 日公布漏洞相關細節與攻擊用的概念驗證（proof of concept）。Advanced Custom Field 外掛程式的開發者則是在 Patchstack 推出概念驗證前一天完成該外掛程式的修復，並且推出更新版本 6.1.6。

然而根據網路基礎建設業者 Akamai 旗下資安團隊的報告指出，該團隊自 5 月 6 日起開始觀察到大量使用 Patchstack 攻擊概念驗證程式碼發動的攻擊活動；報告指出駭侵者直接拷貝了 Patchstack 撰寫的程式碼，針對眾多 WordPress 網站發動攻擊。

據估計，目前仍在使用舊版未更新 Advanced Custom Fields 外掛程式的 WordPress 網站，高達 140 萬個之多，因此給駭侵者很大的攻擊空間。

建議使用 Advanced Custom Fields 外掛程式的 WordPress 網站管理員，應立即將該外掛程式更新到 5.12.6、6.1.6 或後續版本，以避免遭到攻擊。

本文轉載自TWCERT/CC。