(资料图片仅供参考)

12月24日消息，黑客正在积极利用WordPress插件YITH WooCommerce Gift Cards Premium中的“关键”漏洞，提取站点权限并可上传恶意软件。

了解到，YITH WooCommerce Gift Cards Premium是一款非常热门的WordPress插件，目前全球有超过5万家网站使用。本次漏洞追踪编号为CVE-2022-45359(CVSS v3：9.8)，允许未经身份验证的攻击者获取站点所有权限，并可将恶意文件上传到站点上。

CVE-2022-45359漏洞于2022年11月22日向公众披露，影响3.19.0之前的所有插件版本。WordPress用户要解决该问题，需要尽快升级到3.20.0及以上新版本，而且供应商目前已经发布了3.21.0，推荐用户尽快升级。

不幸的是，许多网站仍在使用旧的、易受攻击的版本，并且黑客已经设计出有效的漏洞来攻击它们。据Wordfence的WordPress安全专家称，利用工作正在顺利进行，黑客利用该漏洞在网站上上传后门，获取远程代码执行，并进行接管攻击。