Fastly研究人员发现未经身份验证的存储型XSS攻击困扰着WordPress插件，包括WP Meta SEO和流行的WP Statistics和LiteSpeed！了解这些攻击的工作原理、影响以及如何使用多层防御来加强您的网站。

云安全提供商Fastly警告称，WordPress是全球使用的内容管理系统(CMS)，为数百万个网站提供支持，但目前正遭受利用未经身份验证的存储跨站点脚本(XSS)漏洞的攻击。该公司发现有人试图利用流行的WordPress插件中的三个高危漏洞。

根据Fastly的博客文章，攻击者正在向网站注入恶意脚本和后门以创建新的管理员帐户，在插件和主题文件中注入PHP后门，并设置跟踪脚本来监视受感染的目标。恶意负载在五个域中被引用，另外两个基于跟踪的域之前与WordPress插件利用有关。

易受攻击的插件包括WP Meta SEO，以及流行的WP Statistics和LiteSpeed Cache插件，分别拥有超过600000和500万个活跃安装，被发现容易受到攻击，恶意负载通过URL搜索参数和伪装成管理员通知的脚本注入，可能导致大范围的入侵。

供您参考，未经身份验证的存储型XSS是一种恶意脚本，当它注入WordPress网站时，允许未经授权的访问敏感信息，如cookie和会话令牌。

CVE-2023-6961由CERT PL研究员Krzysztof Zając于2024年4月发现，暴露了WP Meta SEO插件中的一个漏洞，攻击者可以通过向目标站点发送有效负载、生成404响应以及将未清理的标头插入数据库来利用该漏洞。

CVE-2024-2194由Tim Coen于2024年3月发现，当用户访问注入的页面时，未经身份验证的攻击者可以将Web脚本注入WP Statistics插件版本14.5及更早版本。低于14.5的版本在使用该插件的所有网站上仍处于活动状态，占比48%。

CVE-2023-40000由Patchstack于2024年2月发现，暴露了LiteSpeed Cache插件中的存储型跨站点脚本漏洞，当管理员访问伪装成管理员通知的后端页面时会触发XSS漏洞。

WordPress插件依赖于用户生成的内容，如果未经过适当的验证和清理，这些内容很容易受到恶意脚本的攻击。任何利用都可能导致严重后果，包括会话劫持、数据窃取、恶意软件传播和网站破坏。

为了保护您的WordPress网站免受未经身份验证的存储型XSS攻击，请定期更新您的核心、插件和主题，优先考虑输入验证和清理，定期扫描您的网站以查找漏洞，实施Web应用程序防火墙(WAF)，并使用强密码和多因素身份验证(MFA)。

Critical Start威胁检测工程师Adam Neel对该问题进行了评论，并告诉我们：“这些 WordPress漏洞允许攻击者通过跨站点脚本(XSS)窃取管理员凭据，并且WordPress管理员拥有一些您不希望落入攻击者手中的功能，例如删除其他用户、删除页面以及查看所有后端内容，”他警告说。

“对于攻击者来说，这是大量的信息和能力，因此网站管理员必须更新易受攻击的插件。确保所有WordPress插件都更新到最新版本，尤其是WP Statistics、WP Meta SEO和LiteSpeed Cache。”Adam建议道。