一個主要的 WordPress 插件缺陷正在被廣泛利用

安全研究人員在 Fancy Product Designer WordPress 插件中發現了一個關鍵的文件上傳漏洞,該漏洞正在被廣泛利用。

開發安全解決方案以保護WordPress安裝的Wordfence 的研究人員在對該漏洞的分解中指出,受影響的插件已安裝在 17,000 多個站點上。

Fancy Product Designer 插件使用戶能夠上傳圖像和 PDF 文件,然後可以將這些文件添加到網站上列出的產品中。

Wordfence 發現,雖然該插件有一些檢查來防止惡意文件被上傳,但這些是可以繞過的。因此,威脅參與者可以上傳可執行的 PHP 代碼,以進行任何類型的遠程代碼執行 (RCE) 攻擊,包括完整站點接管。

尚未修補
Wordfence 在發現該漏洞被廣泛利用的同一天聯繫了該插件的開發人員,並在 24 小時內收到了回復。

Wordfence 研究人員寫道:「由於這個漏洞受到積極攻擊,我們公開披露了最少的細節,即使它尚未修補,以提醒社區採取預防措施保護他們的網站。」

Wordfence 警告說,即使插件已被停用,關鍵的零日漏洞也可以在某些配置中被利用,並敦促所有用戶完全卸載插件,直到補丁版本可用。

Total
0
Shares
相關文章