近期，网上曝出WordPress的流行插件Social Warfare出现一个零日漏洞，影响超过70,000个网站。 此次曝出的漏洞为存储型的XSS（跨站脚本攻击）漏洞，存在漏洞的插件已从插件库中删除。任何访问使用了漏洞插件的网站的用户都会受到攻击。 目前该插件作者已发布安全补丁，建议用户尽快更新到版本3.5.3。
　　存在漏洞的代码存在于插件的某些调试功能中。这些功能并不能直接使用，而是需要依赖于$_GET参数来执行。因此，你可以轻松判断你的网站是否受到此漏洞影响。 一旦攻击成功，XSS漏洞的payload就会存储到网站数据库中，造成持续影响。 目前网络上已经出现了PoC，预计未来几天相关攻击的数量会持续增加。
　　 跨站点脚本攻击（XSS）是一种普遍存在的漏洞，一旦受害者点击恶意链接，攻击者能往受害者的浏览器加载恶意代码，产生难以估计的恶劣影响。 Social Warfare插件的这个存储型XSS的payload会存储在站点的数据库中，危害巨大，一旦攻击成功，任何浏览被攻陷网站的用户都会受到影响。 为了防止受到此漏洞攻击，强烈建议所有安装了Social Warfare插件的用户尽快将其更新到3.5.3版本。如果您法立即更新，可以利用防火墙等安全设备拦截攻击。