超5万家网站使用，WordPress插件YITHWooCommerce礼

黑客正在积极利用WordPress插件Yithwoo Commerce Gift Cards Premium中的“关键”漏洞来获取网站权限并上传恶意软件。

IT之家了解到，Yithwoo Commerce Gift Cards Premium是一个非常受欢迎的WordPress插件，目前全球有超过50，000个网站在使用它。该漏洞跟踪号为CVE-2022-45359，使得未经验证的攻击者能够获得该站点的所有权限，并将恶意文件上传到该站点。

CVE-2022-45359漏洞于2022年11月22日向公众公开，影响3.19.0之前的所有插件版本。要解决这个问题，WordPress用户需要尽快升级到新版本3.20.0及以上，目前厂商已经发布了3.21.0，建议用户尽快升级。

不幸的是，许多网站仍然在使用旧的和易受攻击的版本，黑客设计了有效的漏洞来攻击它们。据Wordfence的WordPress安全专家称，开发工作进展顺利。黑客利用该漏洞在网站上上传后门，获取远程代码执行，实施接管攻击。