高风险 WordPress 插件存在 XSS 漏洞

关键要点

三个高危漏洞使得未认证的跨站脚本攻击得以实现，攻击者能通过流行的 WordPress 插件注入恶意脚本。这三个漏洞可能影响近 600 万个 WordPress 安装，安全专家提醒给予重视。漏洞涉及 WPStatistics、WP Meta SEO 和 LiteSpeed Cache 插件，且攻击方式类似，主要是创建新管理员账户、注入后门脚本和设置监控脚本。网站管理员需及时更新插件以防止安全风险。

近日，观察到三个高危漏洞，这些漏洞易受到未认证的跨站脚本XSS攻击，攻击者能够通过流行的 WordPress 插件注入恶意脚本。这些漏洞可能影响近 600 万个 WordPress 安装，因此安全专家建议要重视这些问题。

根据一个 5 月 29 日的博客文章，Fastly 的研究人员表示，他们观察到的攻击负载会注入一个指向外部域名上受混淆的 JavaScript 文件的脚本标签。研究人员表示，针对每个漏洞的脚本是相同的，主要集中在以下恶意操作上：创建新管理员账户；注入后门以及设置跟踪脚本，显然是为了监控被感染的网站。

第一个漏洞是 CVE20242194，影响 WPStatistics，该插件已有超过 600000 次安装。第二个漏洞是 CVE20236961，影响 WP Meta SEO 插件，该插件有超过 20000 次安装。最后，CVE202340000 则影响了 LiteSpeed Cache 插件，该插件的安装量超过 500 万。

Critical Start 的威胁检测工程师 Adam Neel 表示，这些 WordPress 漏洞使攻击者可以通过 XSS 窃取管理员凭证。Neel 进一步指出，WordPress 管理员拥有的权限是安全团队绝不希望落入攻击者之手的，例如：删除其他用户、删除页面和查看所有后端内容。

“这对攻击者来说是宝贵的信息与权力，因此网站管理员必须更新受影响的插件。” Neel 说。“确保所有 WordPress 插件更新到最新版本。”

Menlo Security 的首席安全架构师 Lionel Litty 也表示，有一些机制可以缓解这种存储型 XSS 漏洞的影响，尤其是内容安全政策CSP头。然而，Litty 表示，太少的 Web 服务器已部署此项政策，即使有的服务器，其策略通常也过于宽松，难以有效防护。

“这是一个很好的提醒，建议检查你所使用的敏感 Web 应用程序，看它们是否具有足够的安全强化措施。” Litty 提到。“如果没有，向你的供应商询问。”

Critical Start 的 Neel 建议安全专家考虑以下补救措施：

海鸥加速器6.5.1下载补救措施描述审查用户账户检查拥有管理权限的用户账户，删除任何可疑账户，尤其是攻击者常创建的“admim”账户。扫描文件查找意外修改的文件，特别是注入的脚本，例如：ltscript src=hxxps//assetsscontentflow[]comgtlt/scriptgt 或 ltscript src=hxxps//cachecloudswiftcdn[]comgtlt/scriptgt。监控外部请求注意任何异常的外发请求，特别是指向 Yandex 跟踪链接或 URL “hxxp//urmystiqueapi[]com/ur”的请求