WordPress 外掛程式發現允許完整存取漏洞[轉載自科技新報]

不少網站都使用 WordPress 內容管理系統，眾多擴充功能外掛也是受歡迎的原因。不過最近外掛之一發現有嚴重漏洞，駭客可透過漏洞完整存取網站。

網路安全公司 Wordfence 公告，WordPress 外掛程式「Kaswara Modern WPBakery Page Builder Addons」漏洞代號 CVE-2021-24284，最近陸續被駭客鎖定並不斷嘗試利用，最近每天阻止客戶網站超過 44 萬次攻擊。3 個月前就提出漏洞，但開發商並未修復，且不再更新，所以風險一直在。

這漏洞允許駭客上傳惡意 JavaScript 檔案，取得網站完整存取權。Wordfence 估計約 4,000~8,000 個網站仍使用問題外掛，呼籲使開發人員應儘快換成其他方案，因有修補更新的可能性相當低。