CVE-2024-1071 WordPress 插件漏洞

广泛使用的 WordPress 插件 Ultimate Member 暴露了一个令人担忧的安全漏洞，该插件拥有超过 200,000 个活跃安装。该漏洞被标识为 CVE-2024-1071，CVSS 评分为 9.8（满分 10 分），是由安全研究员 Christiaan Swiers 发现的。

根据向用户发布的公告，该漏洞存在于插件的 2.1.3 至 2.8.2 版本中，并通过“sorting”参数与 SQL 注入相关联。此弱点源于无法充分摆脱用户提供的框架以及对现有 SQL 查询缺乏充分准备。因此，未经身份验证的恶意行为者可以利用此漏洞将补充 SQL 查询注入现有查询，从而从数据库中提取敏感数据。

需要强调的是，此问题仅影响在插件设置中启用了“为用户元数据启用自定义表”选项的用户。

用户应尽快更新其插件

在负责任地披露该严重漏洞后，插件开发人员迅速于 2 月 19 日发布了 2.8.3 版本来解决该问题。

强烈建议用户尽快将插件更新到最新版本，以尽量减少潜在威胁。此建议尤其重要，因为 Wordfence 在过去 24 小时内已经阻止了针对该漏洞的攻击。

值得注意的是，这并不是该插件第一次面临安全挑战。2023 年 7 月，网络犯罪分子成功利用了同一插件中的另一个漏洞，该漏洞被标识为 CVE-2023-3460。该漏洞的 CVSS 评分也为 9.8，威胁行为者积极利用该漏洞来建立未经授权的管理员用户并控制易受攻击的网站。

网络犯罪团伙经常以 WordPress 为目标

最近的一次攻击活动中，受感染的 WordPress 网站被利用来直接引入像 Angel Drainer 这样的加密消耗器，或者将访问者重定向到具有消耗器的 Web3 网络钓鱼网站，攻击活动明显增加。

这些攻击采用网络钓鱼策略和恶意注入来利用 Web3 生态系统对直接钱包交互的依赖，对网站所有者和用户资产的安全构成重大威胁。

这一趋势是在发现了一项名为 CG（CryptoGrab）的新型 DaaS 计划之后出现的。CG 运营着一个强大的联盟计划，拥有超过 10,000 名成员，包括俄语、英语和中文使用者。值得注意的是，威胁行为者控制的 Telegram 频道会将潜在攻击者引导至 Telegram 机器人，从而便于在没有外部依赖的情况下执行欺诈操作。

该机器人的功能包括免费获取域名、为新域名复制现有模板、指定重定向资金的钱包地址以及为新创建的域名提供 Cloudflare 保护。

此外，该威胁组织还使用了两个自定义 Telegram 机器人，分别名为 SiteCloner 和 CloudflarePage。SiteCloner 复制现有的合法网站，而 CloudflarePage 则添加 Cloudflare 保护。然后，这些克隆的页面主要通过受感染的 X（以前称为 Twitter）帐户进行传播。