CVE-2023-6000 XSS 漏洞

駭客一直在利用 Popup Builder 外掛過時版本中發現的漏洞來危害 WordPress 網站。這導致 3,300 多個網站受到不良代碼的感染。此漏洞稱為 CVE-2023-6000，是影響 Popup Builder 4.2.3 及更早版本的跨站點腳本 (XSS) 漏洞。它於 2023 年 11 月首次披露。

2024 年初，發現了 Balada Injector 活動，利用此特定漏洞感染了 6,700 多個網站。這凸顯了一個事實，即許多網站管理員沒有及時應用補丁來降低風險。最近，資訊安全研究人員發現了一個新的活動，其活動顯著增加，針對的是 WordPress 外掛中存在的相同漏洞。

有證據表明，已在 3,000 多個 WordPress 網站中檢測到與此最新活動相關的程式碼注入。

利用CVE-2023-6000 XSS漏洞的攻擊鏈

這些攻擊會感染 WordPress 管理介面的自訂 JavaScript 或自訂 CSS 部分，而錯誤的程式碼則儲存在「wp_postmeta」資料庫表中。注入程式碼的主要功能是充當各種 Popup Builder 插件事件的事件處理程序，例如「sgpb-ShouldOpen」、「sgpb-ShouldClose」、「sgpb-WillOpen」、「sgpbDidOpen」、「sgpbWillClose」和「 sgpb-DidClose。 '透過這樣做，特定的插件操作會觸發錯誤的程式碼，例如當彈出視窗開啟或關閉時。

代碼的具體操作可能有所不同。儘管如此，注入的主要目的似乎是將受感染網站的訪客重新導向到不安全的目的地，例如網路釣魚頁面和惡意軟體投放網站。

具體來說，在某些感染中，研究人員觀察到程式碼注入了一個重定向URL -“http://ttincoming.traveltraffic.cc/?traffic”，作為“contact-form-7”彈出視窗的“redirect -url”參數。然後，注入從外部來源檢索錯誤的程式碼片段，並將其註入瀏覽器的網頁頭部以供執行。

實際上，攻擊者有可能透過這種方法實現一系列有害目標，其中許多目標可能比重定向更嚴重。

採取措施防範CVE-2023-6000漏洞

為了有效緩解這些攻擊，建議阻止來自發動攻擊的兩個特定網域的存取。此外，如果您在網站上使用 Popup Builder 插件，則更新至最新版本（目前版本為 4.2.7）至關重要。此更新不僅解決了 CVE-2023-6000，還解決了可能存在的其他安全漏洞。

根據 WordPress 統計，大約有 80,000 個活躍網站仍在使用 Popup Builder 4.1 及更早版本。這顯示仍有大量的攻擊面容易受到攻擊。如果發生感染，刪除過程涉及刪除彈出視窗產生器的自訂部分中存在的任何不安全條目。此外，必須進行徹底掃描，以識別並刪除任何可能導致再次感染的隱藏後門。