CVE-2024-1071 WordPress 外掛漏洞

廣泛使用的 WordPress 外掛程式「Ultimate Member」（擁有超過 200,000 個活躍安裝量）中暴露了一個令人擔憂的安全漏洞。此缺陷被識別為 CVE-2024-1071，CVSS 評分為 9.8 分（滿分為 10 分），由安全研究員 Christiaan Swiers 發現。

根據向使用者發布的公告，該漏洞存在於該插件的 2.1.3 至 2.8.2 版本中，並透過「排序」參數與 SQL 注入相關聯。這個弱點源自於沒有充分擺脫使用者提供的框架以及對現有 SQL 查詢缺乏充分的準備。因此，未經身份驗證的惡意行為者可以利用此缺陷將補充 SQL 查詢注入到預先存在的查詢中，從而導致從資料庫中提取敏感資料。

需要強調的是，此問題僅會影響在外掛程式設定中啟用「為 usermeta 啟用自訂表」選項的使用者。

用戶應盡快更新他們的插件

在負責任地披露該關鍵漏洞後，插件開發人員立即解決了該問題，並於 2 月 19 日發布了 2.8.3 版本。

強烈建議用戶盡快將插件更新到最新版本，以最大程度地減少潛在威脅。此建議尤其重要，因為 Wordfence 已在過去 24 小時內阻止了針對該漏洞的攻擊。

值得注意的是，這並不是該插件第一次面臨安全性挑戰。 2023 年 7 月，網路犯罪分子成功利用了同一插件中的另一個漏洞，編號為 CVE-2023-3460。該漏洞的 CVSS 評分也為 9.8，被威脅行為者積極濫用，以建立未經授權的管理員使用者並控制易受攻擊的網站。

網路犯罪集團經常以 WordPress 為目標

最近的一項活動顯著增加，其中受感染的 WordPress 網站被利用直接引入 Angel Drainer 等加密貨幣排水器，或將訪客重新導向到具有排水器的 Web3 網路釣魚網站。

這些攻擊採用網路釣魚策略和惡意注入來利用 Web3 生態系統對直接錢包互動的依賴，對網站所有者和用戶資產的安全構成重大威脅。

這一趨勢源於一種名為 CG (CryptoGrab) 的新的排水即服務 (DaaS) 計劃的確定。 CG 經營著一個強大的聯盟計劃，擁有超過 10,000 名會員，其中包括俄語、英語和漢語使用者。值得注意的是，由威脅行為者控制的 Telegram 通道將潛在的攻擊者引導至 Telegram 機器人，從而在沒有外部依賴的情況下促進詐欺操作的執行。

該機器人的功能包括免費獲取域名、為新域名複製現有模板、指定重定向資金的錢包地址以及為新創建的域名提供 Cloudflare 保護。

此外，該威脅組織還使用了兩台名為 SiteCloner 和 CloudflarePage 的自訂 Telegram 機器人。 SiteCloner 複製現有的合法網站，而 CloudflarePage 則增加 Cloudflare 保護。然後，這些克隆頁面主要透過受感染的 X（以前稱為 Twitter）帳戶傳播。