专家警告称，据报道，黑客正在利用WordPress插件中未经身份验证的存储跨站脚本(XSS)缺陷来攻击数千个网站。

Defiant的网络安全研究人员发现了BeautifulCookieConsentBanner中的缺陷，这是一个WPcookie同意插件，拥有超过40,000个活跃安装。攻击者可以利用该漏洞将恶意JavaScript添加到受感染的网站中，然后在访问者的浏览器中执行。

网络犯罪分子可以利用XSS做很多事情，从窃取敏感数据和会话到完全接管易受攻击的网站。在这种特殊情况下，威胁行为者可以创建管理员帐户，这足以完全接管网站。

BeautifulCookie的创建者最近发布了针对该缺陷的补丁，因此如果您使用该插件，请确保将其更新到版本2.10.2。

Defiant的RamGall表示：“根据我们的记录，该漏洞自2023年2月5日以来一直受到积极攻击，但这是我们见过的最大规模的攻击。”“自2023年5月23日以来，我们已阻止了来自近14,000个IP地址、针对超过150万个站点的近300万次攻击，并且攻击仍在继续。”

新闻中的一线希望是，攻击者的漏洞似乎配置错​​误，以至于不太可能部署有效负载，即使它的目标是运行旧版且易受攻击的插件版本的网站。尽管如此，研究人员仍敦促网站管理员和所有者应用该补丁，因为即使尝试失败也可能会损坏插件的配置。

该补丁也解决了这个问题，因为该插件能够自我修复。

更重要的是，一旦黑客意识到自己的错误，他们就可以快速解决问题，并可能感染尚未修补的网站。