导读 研究人员最近观察到一个已知且显然已修复的漏洞,该漏洞在野外被滥用以窃取WordPress网站的登录凭据。PluginVulnerities(一家监控WordPress...
研究人员最近观察到一个已知且显然已修复的漏洞,该漏洞在野外被滥用以窃取WordPress网站的登录凭据。
PluginVulnerities(一家监控WordPress插件缺陷的组织)的网络安全研究人员报告称,一名黑客试图利用WPCompress插件中的任意文件查看漏洞。
WPCompress是一个插件,承诺通过压缩网站上的图像来解决加载速度慢的问题。开发人员表示,通过缩短加载时间,这些网站将在搜索引擎排名中表现更好。这也可以防止访问者离开页面。
通过滥用该漏洞,黑客试图查看WordPress配置文件的内容,其中还包含网站的数据库凭据。
更深入的调查显示,该漏洞被跟踪为CVE-2023-6699,但记录为空。美国国家标准与技术研究院网站上表示,“尽管CVEID可能由CVE或CNA分配,但如果其状态为CVE保留,则该ID将无法在NVD中使用。”
另一方面,CVE网站表示,“该候选者已被某个组织或个人保留,在宣布新的安全问题时将使用它。当候选人公布后,将提供该候选人的详细信息。”
插件漏洞进一步解释说,这是有问题的,因为许多IT团队依赖CVE中的信息来跟踪漏洞。由于没有提供任何信息,许多网站对其所携带的潜在漏洞一无所知。