1 月 23 日消息,科技媒體 bleepingcomputer 昨日(1 月 22 日)發(fā)布博文���,報(bào)道稱 WordPress 主題 RealHome 和插件 Easy Real Estate 存在嚴(yán)重安全漏洞�����,未經(jīng)身份驗(yàn)證的用戶可利用漏洞獲取管理員權(quán)限��,數(shù)萬網(wǎng)站面臨風(fēng)險(xiǎn)�����。
令人擔(dān)憂的是��,漏洞發(fā)現(xiàn)者 Patchstack 自 2024 年 9 月以來多次聯(lián)系供應(yīng)商 InspiryThemes����,但未得到任何回應(yīng)����,漏洞至今未修復(fù)。IT之家簡要介紹下兩個漏洞如下:
RealHome 主題漏洞 (CVE-2024-32444�,CVSS 評分:9.8):
該主題存在漏洞,通過 inspiry_ajax_register 函數(shù)注冊新賬戶�����,但未進(jìn)行正確的授權(quán)檢查和隨機(jī)數(shù)驗(yàn)證���。
攻擊者可在注冊請求中將自身角色指定為“管理員”�����,繞過安全檢查����,進(jìn)而完全控制 WordPress 網(wǎng)站�,進(jìn)行內(nèi)容篡改、植入腳本����、訪問用戶敏感數(shù)據(jù)等操作。
據(jù) Envato Market 數(shù)據(jù)顯示���,RealHome 主題已應(yīng)用于 32600 個網(wǎng)站�����。
Easy Real Estate 插件漏洞 (CVE-2024-32555���,CVSS 評分:9.8):
該插件的社交登錄功能存在缺陷���,允許用戶僅憑郵箱地址登錄,而無需驗(yàn)證郵箱地址的真實(shí)所有者�����。攻擊者只需知道管理員的郵箱地址�,即可無需密碼登錄并獲得管理員權(quán)限,其后果與 CVE-2024-32444 類似�����。
由于 InspiryThemes 尚未發(fā)布補(bǔ)丁����,強(qiáng)烈建議使用 RealHome 主題或 Easy Real Estate 插件的網(wǎng)站所有者和管理員立即禁用它們。鑒于漏洞信息已公開�,攻擊者很可能正在積極掃描易受攻擊的網(wǎng)站,因此迅速采取緩解措施至關(guān)重要。
文章內(nèi)容僅供閱讀�,不構(gòu)成投資建議,請謹(jǐn)慎對待����。投資者據(jù)此操作�����,風(fēng)險(xiǎn)自擔(dān)����。
京公網(wǎng)安備 11010502041587號