威脅超 3 萬(wàn)網(wǎng)站：WordPress 主題 / 插件曝 9.8 分高危漏洞，攻擊者可提權(quán)至管理員

IT之家 1 月 23 日消息，科技媒體 bleepingcomputer 昨日（1 月 22 日）發(fā)布博文，報(bào)道稱(chēng) WordPress 主題 RealHome 和插件 Easy Real Estate 存在嚴(yán)重安全漏洞，未經(jīng)身份驗(yàn)證的用戶可利用漏洞獲取管理員權(quán)限，數(shù)萬(wàn)網(wǎng)站面臨風(fēng)險(xiǎn)。

令人擔(dān)憂的是，漏洞發(fā)現(xiàn)者 Patchstack 自 2024 年 9 月以來(lái)多次聯(lián)系供應(yīng)商 InspiryThemes，但未得到任何回應(yīng)，漏洞至今未修復(fù)。IT之家簡(jiǎn)要介紹下兩個(gè)漏洞如下：

RealHome 主題漏洞 (CVE-2024-32444，CVSS 評(píng)分：9.8):

該主題存在漏洞，通過(guò) inspiry_ajax_register 函數(shù)注冊(cè)新賬戶，但未進(jìn)行正確的授權(quán)檢查和隨機(jī)數(shù)驗(yàn)證。

攻擊者可在注冊(cè)請(qǐng)求中將自身角色指定為“管理員”，繞過(guò)安全檢查，進(jìn)而完全控制 WordPress 網(wǎng)站，進(jìn)行內(nèi)容篡改、植入腳本、訪問(wèn)用戶敏感數(shù)據(jù)等操作。

據(jù) Envato Market 數(shù)據(jù)顯示，RealHome 主題已應(yīng)用于 32600 個(gè)網(wǎng)站。

Easy Real Estate 插件漏洞 (CVE-2024-32555，CVSS 評(píng)分：9.8):

該插件的社交登錄功能存在缺陷，允許用戶僅憑郵箱地址登錄，而無(wú)需驗(yàn)證郵箱地址的真實(shí)所有者。攻擊者只需知道管理員的郵箱地址，即可無(wú)需密碼登錄并獲得管理員權(quán)限，其后果與 CVE-2024-32444 類(lèi)似。

由于 InspiryThemes 尚未發(fā)布補(bǔ)丁，強(qiáng)烈建議使用 RealHome 主題或 Easy Real Estate 插件的網(wǎng)站所有者和管理員立即禁用它們。鑒于漏洞信息已公開(kāi)，攻擊者很可能正在積極掃描易受攻擊的網(wǎng)站，因此迅速采取緩解措施至關(guān)重要。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。