Атакующие начали эксплуатировать дыру в плагине WordPress после выхода PoC

Киберпреступники взяли в оборот недавно пропатченную уязвимость в плагине WordPress Advanced Custom Fields. Интересно, что с момента публикации демонстрационного эксплойта (PoC) до активной эксплуатации прошло немногим больше суток.

Брешь отслеживается под идентификатором CVE-2023-30777 и попадает в разряд межсайтового скриптинга (XSS). В случае эксплуатации атакующие могут выкрасть конфиденциальную информацию и повысить права на целевом WordPress-сайте.

PoC-код специалисты опубликовали уже после того, как разработчики выпустили версию плагина 6.1.6 с соответствующим патчем. Команда Akamai Security Intelligence Group (SIG) теперь сообщает, что злоумышленники начали активно эксплуатировать дыру с 6 мая 2023 года.

«Проанализировав активность киберпреступников, мы пришли к выводу, что эксплуатация бреши стартовала в пределах 24 часов после публикации демонстрационного эксплойта. Особый интерес вызывает тот факт, что атакующие скопировали и использовали семпл PoC-кода от Patchstack», — гласит отчёт Akamai.

По статистике ресурса wordpress.org, уязвимый плагин используют более 1,4 млн сайтов на WordPress. Другими словами, злоумышленникам есть где разгуляться по части масштаба кибератак.