行业新闻与博客

Patchstack 今天发布的安全公告详细说明了最新发现，表明 WordPress 插件目前面临着重大的安全风险。 

该通报提到了 Sansec 于 6 月 25 日首次报告的 Polyfill 供应链攻击。此次攻击针对的是 Polyfill.js，这是一个广泛使用的 JavaScript 库，可在缺乏本机支持的旧版 Web 浏览器上启用现代功能。

根据两家公司的调查结果，此次攻击利用了 polyfill.io 域名中的漏洞，该域名最近被中国公司 Funnull 收购。

恶意 JavaScript 代码被注入到此域上托管的库中，造成跨站点脚本 (XSS) 威胁等严重风险。这些漏洞可能会危及用户数据并将访问者重定向到恶意网站，包括欺诈性体育博彩平台。

Sansec 的原始分析还发现，除 polyfill.io 外，还有多个受感染的域名，包括 bootcdn.net 和 bootcss.com，这表明受影响的网络资产范围更广。尽管已立即采取措施停用受感染的域名，但除非彻底检查和保护所有受影响的组件，否则残余风险仍然存在。

在 WordPress 生态系统中，Patchstack 的调查现已发现许多插件和主题仍在集成来自受感染域的脚本。易受攻击的插件包括 Amelia、WP User Frontend 和 WooCommerce 的产品客户列表 - 每个插件及其受影响的版本均在公告中列出。

强烈建议网站管理员立即进行审核并应用必要的更新以减轻潜在的漏洞。

为了进一步增强安全性，Patchstack 还建议删除对受影响域的依赖，并迁移到可信内容交付网络 (CDN)，如 Cloudflare 的 cdnjs。

此外，持续监控和实施内容安全策略 (CSP) 规则是防止未来 JavaScript 注入尝试和确保对不断演变的网络威胁进行强有力保护的关键步骤。