資安業者Patchstack指出,WordPress外掛程式TI WooCommerce Wishlist存在重大層級的漏洞CVE-2024-43917,此漏洞允許任意使用者在WordPress網站資料庫執行不受限制的SQL查詢,而且,攻擊者無須通過身分驗證即可利用這項弱點,CVSS風險評為9.3分(後來NVD認為有9.8分)。值得留意的是,目前這項漏洞尚未得到修補,因此研究人員呼籲,網站管理員最好儘速停用並刪除此外掛程式。
這項外掛程式的功能,就是能讓網站管理者在WooCommerce購物網站快速設置願望清單的機制,有超過10萬個網站部署,算是同類型當中相當受到歡迎的外掛程式。
而此重大層級漏洞發生的原因,在於SQL命令對於特殊元素的使用,發生不當處理的狀況所致,導致攻擊者能在未經身分驗證的情況下觸發漏洞,研究人員也公布2種漏洞利用的概念性驗證程式碼。
研究人員於今年7月18日進行通報,但開發商並未回應,也並未著手修補,WordPress外掛程式審核團隊於9月12日暫停提供下載。
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
Advertisement