锁定WordPress插件程序的漏洞攻击事故频传,因此相关漏洞的通报与披露也相当值得网站管理员留意,若是插件程序开发团队没有修补漏洞,管理员还是要采取相关措施应对,以免网站成为歹徒下手的目标。
安全企业Patchstack表示在去年9月,发现WordPress布景主题RealHome和插件程序Easy Real Estate存在重大层级的漏洞,他们向开发商InspiryThemes通报此事,迄今尚未得到回复,因此他们呼吁网站管理员在厂商没有提供修补之前,应停用布景主题及插件程序应对。
这两种延伸组件提供那些功能?RealHome是专为房产中介网站设计的布景主题,提供相关样式设计,具备高度定制功能,甚至开发团队插件程序支持,而能扩展它的能力,其中一款就是本次披露的社交媒体网账号登录模块Easy Real Estate。此布景主题的付费版本已卖出近3.2万套,因此漏洞影响的范围可能相当广泛。
Patchstack披露存在于RealHome的漏洞,登记为CVE-2024-32444,这是未经身份验证的权限提升漏洞,起因是此布景主题的程序代码在处理用户输入的内容时,并未进行授权或是检查,一旦网站激活用户注册的功能,攻击者就有机会接管网站,CVSS风险评为9.8。此外,该布景主题并未检查用户是否调用特定功能函数inspiry_ajax_register,攻击者可使用$user_role变量创建管理员角色的账号。
另一个出现在Easy Real Estate的漏洞是CVE-2024-32445,Patchstack指出该漏洞形成的原因与CVE-2024-32444类似,攻击者只要知道管理者的电子邮件信箱,就能在无需掌握对应密码的情况下,登录任何用户的账号,CVSS风险评分同样达到9.8。研究人员指出,这项漏洞发生的原因,在于该插件程序并未验证电子邮件信箱发出的POST请求。
