
大规模漏洞利用活动正积极武器化多个内容管理系统中的已知漏洞,其中WordPress插件构成主要攻击面。
网络攻击者正扫描互联网以定位存在漏洞的站点,并链式利用未授权文件上传、远程代码执行(RCE)、服务器端请求伪造(SSRF)及反序列化漏洞,部署可获取持久化远程访问权限的webshell。
包括澳大利亚中小企业在内的全球组织已遭受实际影响,威胁行为者正快速将漏洞披露转化为实际入侵。
一旦建立webshell,攻击者即可远程执行命令、横向渗透至内网、部署额外恶意软件、窃取数据及收集站点用户输入的凭证。
应急响应必须默认假设系统已遭入侵。澳大利亚网络安全中心(ACSC)指导明确要求:检查Web目录中的异常文件(尤其是插件文件夹内)。
审查Web访问日志中针对典型webshell路径的可疑GET或POST请求;对发现webshell的服务器,应视为已遭入侵——立即隔离、保留日志,并全面审计认证与网络活动记录。
攻击者已将受控站点用于篡改页面、托管钓鱼页面,或作为进一步入侵的跳板。本次攻击活动的速度与规模印证了五眼联盟网络安全机构负责人的警告。
调查人员应追溯初始入侵事件、排查持久化机制,并搜索横向移动与数据外泄迹象。
WordPress插件漏洞
若存在可信备份应优先恢复,在服务恢复前清除已识别的恶意代码及持久化载体。
| 软件/插件 | CVE编号 |
|---|---|
| Simple File List (WordPress) | CVE-2025-34085/CVE-2020-36847 |
| WavePlayer (WordPress) | CVE-2025-12057 |
| BerqWP (WordPress) | CVE-2025-7443 |
| WPBookit (WordPress) | CVE-2025-7852 |
| Ninja Forms (WordPress) | CVE-2026-0740 |
| ThemeREX Addons (WordPress) | CVE-2026-1969 |
| Breeze Cache (WordPress) | CVE-2026-3844 |
| pay-uz (WordPress) | CVE-2026-31843 |
| ACF Extended (WordPress) | CVE-2025-13486 |
| Sneeit Framework | CVE-2025-6389 |
| WPvivid Backup (WordPress) | CVE-2026-1357 |
| Gravity Forms (WordPress) | CVE-2025-12352 |
| GutenKit/Hunk Companion (WordPress) | Likely CVE-2024-9234 |
| Craft CMS | CVE-2025-32432 |
| MaxSite CMS | CVE-2026-3395 |
| MetInfo CMS | CVE-2026-29014 |
| Joomla JCE | CVE-2026-48907 |
预防性措施依然直接有效:立即应用供应商补丁(这些公开CVE均有可用修复方案),并在可管理回滚的情况下考虑自动打补丁。
托管面向公众的CMS实例的组织应优先识别受影响组件、加速补丁部署,并将任何无法解释的Web活动视为潜在恶意行为。
在修复前禁用或移除存在活跃利用的插件。通过以下方式强化Web服务器安全:
- 在可行情况下将Web目录设为只读
- 限制文件与路径访问权限
- 监控或拦截未经批准的文件创建
实施进程监控以检测Web服务器二进制文件生成的异常子进程,并考虑通过应用控制限制互联网暴露主机的可执行进程。
最后,隔离并限制Web服务器与内部系统间的网络通信,以降低受感染站点的影响范围。

夜雨聆风