攻击者积极利用ThemeREX Addons中的零日漏洞（安装在数千个站点上的WordPress插件）来创建具有管理员权限的用户帐户，并有可能完全接管易受攻击的网站。

根据WordPress网站安全公司Wordfence的估计，该公司报告了针对ThemeREX Addons零日漏洞的持续攻击，该插件目前至少安装在44,000个网站上。

WordPress插件背后的公司ThemeRex在其商店中出售了466种商业WordPress主题和模板，这些主题和模板还将安装ThemeREX Addons插件，以帮助客户更轻松地配置和管理它们。

该公司在其网站上说： “超过30,000名客户使用我们的高级WordPress主题为他们的网站提供动力，包括一些世界顶级品牌和企业。”

该错误存在于插件注册的WordPress REST-API端点中，该端点允许执行任何PHP函数，而无需先检查是否从具有管理权限的用户处收到请求。

远程执行代码和创建管理员帐户

Wordfence威胁分析师Chloe Chamberland解释说： “此漏洞使攻击者可以在安装了插件的网站上远程执行代码，包括执行可以注入管理用户帐户的代码的能力  。”

“在撰写本文时，此漏洞正在被积极利用，因此，如果您运行的版本大于1.6.50，则我们强烈建议用户暂时删除ThemeREX Addons插件，直到发布补丁为止。”

根据WordFence的说法，由于正在进行的攻击已经在野外加以利用，因此建议网站所有者和管理员禁用该插件或暂时将其删除，直到发布纠正该错误的补丁为止。

钱伯兰德说：“我们有意在这篇文章中提供了最少的细节，以尽量减少利用，同时也通知WordPress网站所有者这一积极的活动。”

“目前，我们敦促运行ThemeREX Addons插件的网站所有者立即将其从其网站中删除。”

开发人员尚未修补ThemeTheX Addons插件漏洞，并且在公司的支持网站上找不到此零日消息的消息。

BleepingComputer向ThemeREX寻求评论，但在本出版物发行时尚未听到。

WordPress插件中的更多关键漏洞

攻击者正在积极利用在安装于200,000多个网站上的适用于WordPress的ThemeGrill Demo Importer插件的 1.3.4至1.6.1版本中发现的另一个严重漏洞  。

在这种情况下，由于开发人员发布了具有修复程序的新版本，因此活动安装下降到100,000个站点，这表明该站点已从站点中删除，而不是为了防御持续的攻击而进行更新。

在超过700,000个网站使用的WordPress GDPR Cookie同意插件中也发现了严重的错误，由于访问控制不当，攻击者可以删除和更改内容，以及注入恶意的java script代码。

该漏洞影响1.8.2版及更早版本，并影响WebToffee插件的开发人员，并于2月10日发布了1.8.3版。

1月中旬，针对WordPress Database Reset报告了另外两个漏洞，这些漏洞允许黑客擦除或接管网站  WordPress Database Reset，该插件具有80,000多个安装，旨在为站点管理员提供一种将数据库重置为默认值的简单方法。

自从WordPress数据库重置3.15以来，开发人员已发布了包含错误修复程序的版本，所有用户中只有25％对其安装程序进行了修补，而其余用户仍在运行较早且可能存在漏洞的版本。