新的 Balada Injector 攻击影响6700多个 WordPress 网站

关键要点

超过6700个使用 Popup Builder 插件的 WordPress 网站受到 CVE20236000 的跨站脚本漏洞影响。攻击者利用该漏洞注入恶意 JavaScript 代码。攻击者通过更改 wpblogheaderphp 文件执行恶意代码。Balada 伪装成 felody 插件，支持任意 PHP 代码执行和文件上传。需要确保 WordPress 插件和主题更新，并删除不再受支持的工具。

近期，BleepingComputer 报导称，超过6700个使用 Popup Builder 插件的 WordPress 网站因存在 CVE20236000 的跨站脚本漏洞而受到影响，新的 Balada Injector 攻击自上个月开始。根据 Sucuri 的报告，攻击者利用此漏洞控制了 Popup Builder 的 sgpbWillOpen 事件，从而在弹出窗口启动时注入恶意 JavaScript 代码。这些 JavaScript 代码还通过对 wpblogheaderphp 文件的更改执行。随后，多个脚本集被加载，以执行 Balada 并伪装成 felody 插件，这不仅允许任意 PHP 代码执行、文件上传和执行，还支持攻击者的通信及进一步的恶意载荷检索。

攻击方式详细说明漏洞利用Crosssite scripting (CVE20236000)恶意行为注入 JavaScript 代码，并通过修改 wpblogheaderphp 执行伪装插件Balada 伪装为 felody，以进行恶意操作

进一步分析该攻击活动的域名也显示了使用 Cloudflare 防火墙来隐蔽攻击来源。这一发展应促使各组织确保其 WordPress 网站使用更新的插件和主题，并清除不再支持的工具。管理员应定期检查其网站的安全性，以防范潜在的攻击。

黑洞加速器器