行業新聞與部落格

Patchstack 今天釋出的安全公告詳細說明了最新發現，表明 WordPress 外掛目前面臨著重大的安全風險。 

該通報提到了 Sansec 於 6 月 25 日首次報告的 Polyfill 供應鏈攻擊。此次攻擊針對的是 Polyfill.js，這是一個廣泛使用的 JavaScript 庫，可在缺乏本機支援的舊版 Web 瀏覽器上啟用現代功能。

根據兩家公司的調查結果，此次攻擊利用了 polyfill.io 網域名稱中的漏洞，該網域名稱最近被中國公司 Funnull 收購。

惡意 JavaScript 程式碼被注入到此域上託管的庫中，造成跨站點指令碼 (XSS) 威脅等嚴重風險。這些漏洞可能會危及使用者資料並將訪問者重定向到惡意網站，包括欺詐性體育博彩平臺。

Sansec 的原始分析還發現，除 polyfill.io 外，還有多個受感染的網域名稱，包括 bootcdn.net 和 bootcss.com，這表明受影響的網路資產範圍更廣。儘管已立即採取措施停用受感染的網域名稱，但除非徹底檢查和保護所有受影響的元件，否則殘餘風險仍然存在。

在 WordPress 生態系統中，Patchstack 的調查現已發現許多外掛和主題仍在整合來自受感染域的指令碼。易受攻擊的外掛包括 Amelia、WP User Frontend 和 WooCommerce 的產品客戶列表 - 每個外掛及其受影響的版本均在公告中列出。

強烈建議網站管理員立即進行稽核並應用必要的更新以減輕潛在的漏洞。

為了進一步增強安全性，Patchstack 還建議刪除對受影響域的依賴，並遷移到可信內容交付網路 (CDN)，如 Cloudflare 的 cdnjs。

此外，持續監控和實施內容安全策略 (CSP) 規則是防止未來 JavaScript 注入嘗試和確保對不斷演變的網路威脅進行強有力保護的關鍵步驟。