WordPress Essential Addons插件存在严重安全漏洞

关键点摘要

• 漏洞概述 ：WordPress插件Essential Addons for Elementor存在严重的未认证权限提升漏洞（CVE-2023-32243）。
• 影响范围 ：该漏洞影响超过一百万个网站，且可能导致网站被劫持。
• 攻击情况 ：在过去24小时内，已有200起利用此漏洞的攻击被阻止。
• 额外威胁 ：WordPress网站还遭受SocGholish恶意软件的攻击。

近期，广受欢迎的 Essential Addons forElementor，被发现存在一个严重的未认证权限提升漏洞（CVE-2023-32243）。据Wordfence统计，在过去的24小时内，已成功阻止200次利用该漏洞的攻击。根据

的报道，攻击者可能利用这个已经被修复的漏洞来实现权限提升和任意用户密码重置，从而可能导致网站被劫持。Patchstack的研究员RafieMuhammad指出：“这个漏洞的发生是因为密码重置功能未能验证密码重置密钥，直接更改了给定用户的密码。”

此外，Sucuri还报告提到，自三月底以来，WordPress网站也遭到了SocGholish恶意软件（又称FakeUpdates）的攻击。这种攻击使用了由zlib软件库提供的压缩技术来隐藏恶意软件。Sucuri研究员DenisSinegubko表示：“恶意行为者不断提高他们的战术、技术和程序，以避开检测并延长恶意软件活动的寿命。”

漏洞影响表格

结论

面对愈演愈烈的网络安全威胁，网站管理员需及时更新插件并采取必要防护措施，以保护网站安全。对这类漏洞保持高度警觉，并确保定期检查安全补丁，已成为每个WordPress网站拥有者的重要责任。