Bleeping Computer 网站披露, WordPress 插件 Tatsu Builder 中存在远程代码执行漏洞 CVE-2021-25094,黑客正在利用其进行大规模网络攻击。(该插件安装在大约 10 万个网站上。)
在未使用 Tatsu Builder 插件更新版本的服务器中,攻击者能够利用该漏洞执行任意代码( 3.3.12 版本之前)。
漏洞披露不久后,供应商在 3.3.13 版本中发布了一个安全补丁,并于 2022年 4 月 7 日通过电子邮件提醒用户,敦促他们应用安全更新。
经过对攻击事件分析,研究人员发现攻击者一直试图在 "wp-content/uploads/typehub/custom/" 目录的一个子文件夹中注入一个恶意软件dropper(下载器),并使其成为一个隐藏文件。该下载器名为 ".sp3ctra_XO.php",其 MD5 哈希值为3708363c5b7bf582f8477b1c82c8cbf8。
扩展的文件检查功能跳过隐藏文件
另外,Wordfence 在报告中强调,超过一百万次的攻击仅来自以下三个 IP 地址,建议网站管理员将这些IP添加到封锁名单中。
148.251.183.254;
176.9.117.218;
217.160.145.62。
最后,网络安全专家强烈建议 Tatsu Builder 插件使用者,尽快升级到 3.3.1版本以避免攻击风险。
由 dawei
【声明】:连云港站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。