超 5 萬(wàn)家網(wǎng)站使用，WordPress 插件 YITH WooCommerce 禮品卡被爆“關(guān)鍵”漏洞

2022-12-24 11:20:05|

來(lái)源：IT之家作者：

(資料圖)

IT之家 12 月 24 日消息，黑客正在積極利用 WordPress 插件 YITH WooCommerce Gift Cards Premium 中的“關(guān)鍵”漏洞，提取站點(diǎn)權(quán)限并可上傳惡意軟件。

IT之家了解到，YITH WooCommerce Gift Cards Premium 是一款非常熱門(mén)的 WordPress 插件，目前全球有超過(guò) 5 萬(wàn)家網(wǎng)站使用。本次漏洞追蹤編號(hào)為 CVE-2022-45359 (CVSS v3：9.8)，允許未經(jīng)身份驗(yàn)證的攻擊者獲取站點(diǎn)所有權(quán)限，并可將惡意文件上傳到站點(diǎn)上。

CVE-2022-45359 漏洞于 2022 年 11 月 22 日向公眾披露，影響 3.19.0 之前的所有插件版本。WordPress 用戶(hù)要解決該問(wèn)題，需要盡快升級(jí)到 3.20.0 及以上新版本，而且供應(yīng)商目前已經(jīng)發(fā)布了 3.21.0，推薦用戶(hù)盡快升級(jí)。

不幸的是，許多網(wǎng)站仍在使用舊的、易受攻擊的版本，并且黑客已經(jīng)設(shè)計(jì)出有效的漏洞來(lái)攻擊它們。據(jù) Wordfence 的 WordPress 安全專(zhuān)家稱(chēng)，利用工作正在順利進(jìn)行，黑客利用該漏洞在網(wǎng)站上上傳后門(mén)，獲取遠(yuǎn)程代碼執(zhí)行，并進(jìn)行接管攻擊。

標(biāo)簽： WordPress