安全研究人员在 Fancy Product Designer WordPress 插件中发现了一个关键的文件上传漏洞,该漏洞正在被广泛利用。
开发安全解决方案以保护WordPress安装的Wordfence 的研究人员在对该漏洞的分解中指出,受影响的插件已安装在 17,000 多个站点上。
Fancy Product Designer 插件使用户能够上传图像和 PDF 文件,然后可以将这些文件添加到网站上列出的产品中。
Wordfence 发现,虽然该插件有一些检查来防止恶意文件被上传,但这些是可以绕过的。因此,威胁参与者可以上传可执行的 PHP 代码,以进行任何类型的远程代码执行 (RCE) 攻击,包括完整站点接管。
尚未修补
Wordfence 在发现该漏洞被广泛利用的同一天联系了该插件的开发人员,并在 24 小时内收到了回复。
Wordfence 研究人员写道:“由于这个漏洞受到积极攻击,我们公开披露了最少的细节,即使它尚未修补,以提醒社区采取预防措施保护他们的网站。”
Wordfence 警告说,即使插件已被停用,关键的零日漏洞也可以在某些配置中被利用,并敦促所有用户完全卸载插件,直到补丁版本可用。