站点管理员仍然很容易成为WordPress的目标对象，因为黑客目前正在利用未修补的漏洞来进行恶意广告活动。

尽管出于安全原因已从六个月前从WordPress存储库中删除了该插件，但据估计仍有16,000个网站在运行它。

熟悉的XSS有效负载

该插件容易受到未经身份验证的插件选项更新的攻击，攻击者正在利用它来提供存储的跨站点脚本（XSS）负载。java script由网站访问者和经过身份验证的管理员触发。

根据Defiant的研究人员的说法，有两个问题允许攻击。一种是缺少用于更改插件选项的访问控制，另一种是没有清除选项的值。

恶意广告活动提供了几乎相同的XSS有效载荷，与自4月以来追踪的同类操作中所看到的一样。该公司 今年至少 发布了三份 报告。

威胁参与者的目的是将用户重定向到危险目的地，例如技术支持诈骗，恶意Android程序包，欺诈性网站或恶意软件位置。另一个目标似乎是展示弹出式窗口，宣传可疑药品。

周二的报告告知此活动有三个IP地址：

• 94.229.170.38

• 183.90.250.26

• 69.27.116.3

消除混淆后，有效负载会运行一个名为“ place.js”的脚本，该脚本托管在域adsnet [。] work上。

Defiant建议仍具有“丰富评论”处于活动状态的网站管理员查找替代方法，并将其从其网站中删除。

开发人员承诺退货

看来该插件的作者已经意识到该漏洞，并正在对其进行修复。一位受到该活动影响的管理员上周抱怨说，她的三个网站被与此恶意广告活动相关的恶意脚本感染。

插件开发人员Nuanced Media回答说，他们计划在接下来的两周内卷土重来。但是，除非安装了Rich Reviews的所有网站都删除了该产品，否则它们都是潜在的目标。

但是，即使开发人员想出了一个解决方案，也要等到插件将其重新装回WordPress存储库后，Rich Reviews用户才能使用。