安全研究人員在 Fancy Product Designer WordPress 插件中發現了一個關鍵的文件上傳漏洞,該漏洞正在被廣泛利用。
開發安全解決方案以保護WordPress安裝的Wordfence 的研究人員在對該漏洞的分解中指出,受影響的插件已安裝在 17,000 多個站點上。
Fancy Product Designer 插件使用戶能夠上傳圖像和 PDF 文件,然後可以將這些文件添加到網站上列出的產品中。
Wordfence 發現,雖然該插件有一些檢查來防止惡意文件被上傳,但這些是可以繞過的。因此,威脅參與者可以上傳可執行的 PHP 代碼,以進行任何類型的遠程代碼執行 (RCE) 攻擊,包括完整站點接管。
尚未修補
Wordfence 在發現該漏洞被廣泛利用的同一天聯繫了該插件的開發人員,並在 24 小時內收到了回復。
Wordfence 研究人員寫道:「由於這個漏洞受到積極攻擊,我們公開披露了最少的細節,即使它尚未修補,以提醒社區採取預防措施保護他們的網站。」
Wordfence 警告說,即使插件已被停用,關鍵的零日漏洞也可以在某些配置中被利用,並敦促所有用戶完全卸載插件,直到補丁版本可用。