行業新聞與博客

Patchstack 今天發佈的安全公告詳細説明了最新發現，表明 WordPress 插件目前面臨着重大的安全風險。 

該通報提到了 Sansec 於 6 月 25 日首次報告的 Polyfill 供應鏈攻擊。此次攻擊針對的是 Polyfill.js，這是一個廣泛使用的 JavaScript 庫，可在缺乏本機支持的舊版 Web 瀏覽器上啓用現代功能。

根據兩家公司的調查結果，此次攻擊利用了 polyfill.io 域名中的漏洞，該域名最近被中國公司 Funnull 收購。

惡意 JavaScript 代碼被注入到此域上託管的庫中，造成跨站點腳本 (XSS) 威脅等嚴重風險。這些漏洞可能會危及用户數據並將訪問者重定向到惡意網站，包括欺詐性體育博彩平台。

Sansec 的原始分析還發現，除 polyfill.io 外，還有多個受感染的域名，包括 bootcdn.net 和 bootcss.com，這表明受影響的網絡資產範圍更廣。儘管已立即採取措施停用受感染的域名，但除非徹底檢查和保護所有受影響的組件，否則殘餘風險仍然存在。

在 WordPress 生態系統中，Patchstack 的調查現已發現許多插件和主題仍在集成來自受感染域的腳本。易受攻擊的插件包括 Amelia、WP User Frontend 和 WooCommerce 的產品客户列表 - 每個插件及其受影響的版本均在公告中列出。

強烈建議網站管理員立即進行審核並應用必要的更新以減輕潛在的漏洞。

為了進一步增強安全性，Patchstack 還建議刪除對受影響域的依賴，並遷移到可信內容交付網絡 (CDN)，如 Cloudflare 的 cdnjs。

此外，持續監控和實施內容安全策略 (CSP) 規則是防止未來 JavaScript 注入嘗試和確保對不斷演變的網絡威脅進行強有力保護的關鍵步驟。