IT之家 1 月 23 日消息,科技媒体 bleepingcomputer 昨日(1 月 22 日)发布博文,报道称 WordPress 主题 RealHome 和插件 Easy Real Estate 存在严重安全漏洞,未经身份验证的用户可利用漏洞获取管理员权限,数万网站面临风险。
令人担忧的是,漏洞发现者 Patchstack 自 2024 年 9 月以来多次联系供应商 InspiryThemes,但未得到任何回应,漏洞至今未修复。IT之家简要介绍下两个漏洞如下:
RealHome 主题漏洞 (CVE-2024-32444,CVSS 评分:9.8):
该主题存在漏洞,通过 inspiry_ajax_register 函数注册新账户,但未进行正确的授权检查和随机数验证。
攻击者可在注册请求中将自身角色指定为“管理员”,绕过安全检查,进而完全控制 WordPress 网站,进行内容篡改、植入脚本、访问用户敏感数据等操作。
据 Envato Market 数据显示,RealHome 主题已应用于 32600 个网站。
Easy Real Estate 插件漏洞 (CVE-2024-32555,CVSS 评分:9.8):
该插件的社交登录功能存在缺陷,允许用户仅凭邮箱地址登录,而无需验证邮箱地址的真实所有者。攻击者只需知道管理员的邮箱地址,即可无需密码登录并获得管理员权限,其后果与 CVE-2024-32444 类似。
由于 InspiryThemes 尚未发布补丁,强烈建议使用 RealHome 主题或 Easy Real Estate 插件的网站所有者和管理员立即禁用它们。鉴于漏洞信息已公开,攻击者很可能正在积极扫描易受攻击的网站,因此迅速采取缓解措施至关重要。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。