由于黑客利用tagDiv Composer前端页面构建器插件中的漏洞，数千个WordPress网站遭到黑客攻击。该漏洞被追踪为 CVE-2023-3169。如果您使用WordPress，请更新到最新版本。

使用WordPress主题Newspaper和Newsmag的Web开发人员必须保持谨慎，因为最近修补的漏洞正被利用来获得对网站的完全控制。易受攻击的插件是tagDiv Composer，它是Newspaper和Newsmag主题的重要组成部分。这些主题可通过Theme Forest和Envato市场获得，下载量超过155000次。

越南研究员Truoc Phan首先发现了它。它被跟踪为CVE-2023-3169，严重性评级为7.1（满分10），即“中”。它在tagDiv Composer版本4.1中得到部分修复，并在版本4.2中得到完全修补。

据安全公司Sucuri的研究员Denis Sinegubko称，威胁行为者利用此跨站脚本(XSS)漏洞在网页中注入恶意代码，将访问者重定向到诈骗或受感染的网站。

这些网站提供虚假技术支持、推送通知诈骗和欺诈性彩票中奖来吸引用户。推送通知诈骗通过显示虚假验证码对话强迫用户订阅。

这项研究最令人担忧的方面是，威胁行为者已经破坏了数千个WordPress网站。NIST的国家漏洞数据库显示，4.2之前的tagDiv Composer WordPress插件版本没有REST路由授权，并且在输出回来时没有验证或转义某些参数。

这允许未经身份验证的用户进行存储的跨站点脚本攻击。利用此缺陷，攻击者可以将恶意代码注入网站。

值得注意的是，该漏洞源自Sucuri名为Balada的恶意软件活动。该公司自2017年首次检测到该恶意软件以来一直对其进行跟踪，并估计自2017年以来，该恶意软件已危害了超过100万个网站。

2023年9月，超过17000个网站和40000名用户发现了Balada注入。新检测到的感染中有超过9000例是由CVE-2023-3169促成的注射引起的。

Balada组织更喜欢通过注入创建具有管理员权限的帐户的脚本来获得对受感染网站的持久控制。当真正的管理员检测到它时，他们会删除重定向，但保留假管理员帐户。威胁行为者使用管理员权限创建一组新的恶意重定向脚本。

Pixel Privacy的消费者隐私倡导者Chris Hauk在评论这个故事时表示：“不幸的是，插件和主题是黑客最喜欢利用WordPress生态系统弱点的目标。”

Chris警告说：“这个缺陷最近才在tagDiv Composer插件中修复，因此可能仍有成千上万的WordPress网站使用旧版本的插件。WordPress管理员应该立即更新他们的插件和模板，以防止这种黑客攻击，”他建议道。

对于任何使用WordPress主题Newspaper和Newsmag的Web开发人员或网站管理员来说，有必要检查网站和事件日志以检测感染迹象。除了删除恶意脚本之外，他们还必须检查新添加的管理员帐户和后门代码。仍在使用旧版本的用户必须立即切换到TagDiv 4.2版本以防止感染。