5月27日新加坡網路安全域性（Cyber Security Agency of Singapore）發布資安公告，指出上週公佈的9個WordPress外掛程式漏洞相當值得留意，因為這些漏洞都非常危險，而且，已有部分被用於攻擊行動。

根據CVSS風險評分，最嚴重的漏洞是CVE-2024-31351，影響1.6版以前的AI內容寫作及生成工具WordPress Copymatic，此為任意檔案上傳漏洞，一旦遭到利用，攻擊者就有機會在未通過身分驗證的情況下，將後門程式上傳到網站，從而得到存取權限，CVSS風險評分達到10分。

其餘漏洞幾乎都是達到CVSS風險評分9.8的危險程度，這些漏洞包括：

●表單建置工具Hash Form的未經授權任意檔案上傳漏洞CVE-2024-5084
●國家及地區下拉式選單工具Country State City Dropdown CF7的SQL注入漏洞CVE-2024-3495
●小工具及範本元件工具WPZOOM Addons for Elementor的未經授權本機檔案包含（Local File Inclusion）漏洞CVE-2024-5147
●網站目錄建置工具Business Directory Plugin的SQL注入漏洞CVE-2024-4443
●使用者個人檔案外掛UserPro的帳號挾持漏洞CVE-2024-35700
●Fluent Forms聯絡表單外掛程式的權限提升漏洞CVE-2024-2771
●網站目錄建置工具Web Directory Free的SQL注入漏洞CVE-2024-3552

除了CVE-2024-3552的CVSS風險評分略低，為9.3分，其餘上述漏洞皆達到9.8分的危險層級。

值得留意的是，新加坡網路安全域性特別提及CVE-2024-2771已用於攻擊行動。但有鑑於上述漏洞都非常危險，WordPress網站管理員應該儘速套用新版外掛程式進行修補。