一个主要的WordPress插件缺陷正在被广泛利用
安全研究人员在 Fancy Product Designer WordPress 插件中发现了一个关键的文件上传漏洞,该漏洞正在被广泛利用。 开发安全解决方案以保护WordPress安装的Wordfence 的研究人员在对该漏洞的分解中指出,受影响的插件已安装在 17,000 多个站点上。
Fancy Product Designer 插件使用户能够上传图像和 PDF 文件,然后可以将这些文件添加到网站上列出的产品中。
我们正在研究我们的读者如何使用 VPN 来获取即将发布的深度报告。我们很乐意在下面的调查中听到您的想法。您的时间不会超过 60 秒。
Wordfence 发现,虽然该插件有一些检查来防止恶意文件被上传,但这些是可以绕过的。因此,威胁参与者可以上传可执行的 PHP 代码,以进行任何类型的远程代码执行 (RCE) 攻击,包括完整站点接管。
Wordfence 在发现该漏洞被广泛利用的同一天联系了该插件的开发人员,并在 24 小时内收到了回复。
Wordfence 研究人员写道:“由于这个漏洞受到积极攻击,我们公开披露了最少的细节,即使它尚未修补,以提醒社区采取预防措施保护他们的网站。”
Wordfence 警告说,即使插件已被停用,关键的零日漏洞也可以在某些配置中被利用,并敦促所有用户完全卸载插件,直到补丁版本可用。