黑客正在尝试利用最近披露的一个 WordPress 插件高危漏洞控制网站。该漏洞位于 WordPress Automatic 插件，该插件有逾 3.8 万付费用户，被用于整合其它网站的内容。安全公司 Patchstack 的研究人员上个月披露，WordPress Automatic v3.92.0 及以下版本存在一个 9.9/10 的高危漏洞 CVE-2024-27596，该漏洞属于 SQL 注入，可被用于执行各种敏感操作，包括获得管理权限，上传恶意文件完全控制网站。插件开发商 ValvePress 已经发布了补丁 v3.92.1 修复漏洞。网络安全公司 WPScan 本周报告，自漏洞披露以来，它纪录到了逾 550 万次漏洞利用尝试。它没有披露有多少次尝试成功了。

https://arstechnica.com/security/2024/04/hackers-make-millions-of-attempts-to-exploit-wordpress-plugin-vulnerability/