+ 收藏我们

网站模板

网站模板搜索
404模板 营销型模板 外贸网站模板 单页模板 双语模板 标签大全
电话:18630701785
首页 > 站长学院 > 黑客瞄准 15 万个网站使用的 WordPress 日历插件 >

黑客瞄准 15 万个网站使用的 WordPress 日历插件

时间:2024-07-21 12:33:02

研究发现,黑客正试图利用现代事件日历 WordPress 插件中的漏洞(该漏洞存在于超过 150,000 个网站上),将任意文件上传到易受攻击的站点并远程执行代码。

该插件由 Webnus 开发,用于组织和管理现场、虚拟或混合活动。

攻击中利用的漏洞被标识为 CVE-2024-5441,并获得了高严重性评分(CVSS v3.1:8.8)。该漏洞由 Friderika Baranyai 于 5 月 20 日在 Wordfence 的 Bug Bounty Extravaganza 期间发现并报告。

在一份描述安全问题的报告中,Wordfence 表示,安全问题源于插件的 "set_featured_image" 函数缺乏文件类型验证,该函数用于上传和设置事件的特色图片。

该函数获取图像 URL 和帖子 ID,尝试获取附件 ID,如果未找到,则使用 get_web_page 函数下载图像。

它使用 wp_remote_get 或 file_get_contents 检索图像,并使用 file_put_contents 函数将其保存到 WordPress 上传目录。

现代事件日历版本(直至 7.11.0)不检查上传的图像文件中扩展名的文件类型,允许上传任何文件类型,包括有风险的 .PHP 文件。

一旦上传,这些文件就可以被访问和执行,从而可以在服务器上执行远程代码,并可能导致完全的网站接管。

任何经过身份验证的用户(包括订阅者和任何注册会员)均可利用 CVE-2024-5441。如果插件设置为允许非会员(没有帐户的访问者)提交事件,则无需身份验证即可利用 CVE-2024-5441。

Webnus 近日发布了现代事件日历 7.12.0 版本修复了该漏洞,可有效避免网络攻击风险的推荐升级。

然而,Wordfence 报告称,黑客已试图利用该问题进行攻击,并在 24 小时内阻止了 100 多次攻击尝试。

鉴于正在进行的攻击活动,现代事件日历和现代事件日历精简版(免费版)的用户应尽快升级到最新版本或禁用该插件,直到他们可以执行更新。

有问题可以加入网站技术QQ群一起交流学习

本站会员学习、解决问题QQ群(691961965)

客服微信号:lpf010888

Title