CVE-2023-6000 XSS 漏洞

黑客一直在利用 Popup Builder 插件过时版本中发现的漏洞来危害 WordPress 网站。这导致 3,300 多个网站受到不良代码的感染。该漏洞称为 CVE-2023-6000，是一个影响 Popup Builder 4.2.3 及更早版本的跨站点脚本 (XSS) 漏洞。它于 2023 年 11 月首次披露。

2024 年初，发现了 Balada Injector 活动，利用此特定漏洞感染了 6,700 多个网站。这凸显了一个事实，即许多站点管理员没有及时应用补丁来降低风险。最近，信息安全研究人员发现了一个新的活动，其活动显着增加，针对的是 WordPress 插件中存在的相同漏洞。

有证据表明，已在 3,000 多个 WordPress 网站中检测到与此最新活动相关的代码注入。

利用CVE-2023-6000 XSS漏洞的攻击链

这些攻击会感染 WordPress 管理界面的自定义 JavaScript 或自定义 CSS 部分，而错误的代码存储在“wp_postmeta”数据库表中。注入代码的主要功能是充当各种 Popup Builder 插件事件的事件处理程序，例如“sgpb-ShouldOpen”、“sgpb-ShouldClose”、“sgpb-WillOpen”、“sgpbDidOpen”、“sgpbWillClose”和“ sgpb-DidClose。'通过这样做，特定的插件操作会触发错误的代码，例如当弹出窗口打开或关闭时。

代码的具体操作可能有所不同。尽管如此，注入的主要目的似乎是将受感染网站的访问者重定向到不安全的目的地，例如网络钓鱼页面和恶意软件投放网站。

具体来说，在某些感染中，研究人员观察到代码注入了一个重定向 URL -“http://ttincoming.traveltraffic.cc/?traffic”，作为“contact-form-7”弹出窗口的“redirect-url”参数。然后，注入从外部源检索错误的代码片段，并将其注入浏览器的网页头部以供执行。

实际上，攻击者有可能通过这种方法实现一系列有害目标，其中许多目标可能比重定向更严重。

采取措施防范CVE-2023-6000漏洞

为了有效缓解这些攻击，建议阻止来自发起攻击的两个特定域的访问。此外，如果您在网站上使用 Popup Builder 插件，则更新到最新版本（当前版本为 4.2.7）至关重要。此更新不仅解决了 CVE-2023-6000，还解决了可能存在的其他安全漏洞。

根据 WordPress 统计，大约有 80,000 个活跃站点仍在使用 Popup Builder 4.1 及更早版本。这表明仍有大量的攻击面容易受到攻击。如果发生感染，删除过程涉及删除弹出窗口生成器的自定义部分中存在的任何不安全条目。此外，必须进行彻底扫描，以识别并删除任何可能导致再次感染的隐藏后门。