黑客正在利用ThemeREX制造的WordPress插件中的一个0-day漏洞。ThemeREX是一家销售商用WordPress主题的公司。

Wordfence公司检测到攻击已于2月18日开始。Wordfence是一家为WordPress网站提供web应用程序防火墙的公司。

黑客把ThemeREX Addons作为攻击目标，ThemeREX Addons是一个WordPress插件，预装了所有ThemeREX商用主题。该插件可帮助ThemeREX产品买家设置新的网站和控制各种主题特性。Wordfence公司估计超过44 000个网站安装了该插件。

根据Wordfence公司的说法，该插件可通过设置WordPress REST-API端点来运行，但是不会检查发送到REST API的命令是否来自授权用户（即网站所有者）。

Wordfence的威胁分析人员Chloe Chamberland表示，“这意味着任何访客都可以远程执行代码，即使是那些未经身份认证的人也可以。我们发现的活跃攻击中最令人担心的是，攻击者可以创建新的管理员账户， 这可以用于完全接管网站。如果用户运行的版本高于1.6.50版本，在补丁发布之前，我们强烈建议用户暂时移除ThemeREX Addons插件。”

对运行ThemeREX Addons插件的网站的攻击并不是最近唯一曝光的针对WordPress插件的攻击。

几天前， WordPress ThemeGrill Demo Importer插件就被曝存在安全漏洞。根据发现该插件漏洞的WebARX公司和Twitter上发布的信息，黑客可利用该插件中的漏洞擦除数据库数据，并将WordPress网站重置成默认状态。超过20万个WordPress网站运行了ThemeGrill插件。并且，在一些特殊的环境中，攻击者可以通过劫持管理员账户接管脆弱的网站。

本文源自ZDNet；转载请注明出处。