WordPress是相當受歡迎的網站內容管理平臺,外掛程式眾多,但每一套工具的軟體資安防護再嚴密,也總有疏漏,因此,不時傳出被研究人員或駭客找到資安漏洞的消息,這次出包的外掛程式是用於改善網站管理員工作流程的Admin and Site Enhancements(ASE),安裝數超過10萬,根據資安業者Patchstack的揭露,當中存在高風險漏洞CVE-2024-43333、CVE-2025-24648,影響7.6.2.1以下版本,且無論免費版本、付費的專業版本都受到影響。研究人員去年12月通報此事,開發者發布更新版本7.6.3修補,由於這項外掛程式有超過10萬個網站採用,若不處理影響範圍可能相當廣泛。
這些漏洞可被用於權限提升,因為當中以角色檢視管理者(View Admin as Role)的功能出現邏輯錯誤,導致使用者有機會能復原成原本的角色權限。Patchstack舉例,原本取得管理員權限的使用者,後來卻莫名其妙被降級為訂閱者,一旦此外掛程式的View Admin as Role功能啟用,該使用者可能回復先前的管理員身分,CVSS風險評為7.5。
特別的是,付費版與免費版的ASE雖然存在相同弱點,卻登記為不同的CVE編號:CVE-2024-43333、CVE-2025-24648,Patchstack並未說明理由。
熱門新聞
2025-02-08
2025-02-11
2025-02-10
2025-02-08
2025-02-10
2025-02-08
Advertisement