5月27日新加坡网络安全局（Cyber Security Agency of Singapore）发布资安公告，指出上周公布的9个WordPress插件程序漏洞相当值得留意，因为这些漏洞都非常危险，而且，已有部分被用于攻击行动。

根据CVSS风险评分，最严重的漏洞是CVE-2024-31351，影响1.6版以前的AI内容写作及生成工具WordPress Copymatic，此为任意文件上传漏洞，一旦遭到利用，攻击者就有机会在未通过身分验证的情况下，将后门程序上传到网站，从而得到存取权限，CVSS风险评分达到10分。

其余漏洞几乎都是达到CVSS风险评分9.8的危险程度，这些漏洞包括：

●表单建置工具Hash Form的未经授权任意文件上传漏洞CVE-2024-5084
●国家及地区下拉式菜单工具Country State City Dropdown CF7的SQL注入漏洞CVE-2024-3495
●小工具及范本组件工具WPZOOM Addons for Elementor的未经授权本机文件包含（Local File Inclusion）漏洞CVE-2024-5147
●网站目录建置工具Business Directory Plugin的SQL注入漏洞CVE-2024-4443
●用户个人文件插件UserPro的帐号挟持漏洞CVE-2024-35700
●Fluent Forms联系表单插件程序的权限提升漏洞CVE-2024-2771
●网站目录建置工具Web Directory Free的SQL注入漏洞CVE-2024-3552

除了CVE-2024-3552的CVSS风险评分略低，为9.3分，其余上述漏洞皆达到9.8分的危险层级。

值得留意的是，新加坡网络安全局特别提及CVE-2024-2771已用于攻击行动。但有鉴于上述漏洞都非常危险，WordPress网站管理员应该尽速套用新版插件程序进行修补。