【安全资讯】CVE-2024-8672:Widget Options插件中的严重漏洞威胁超10万网站

安恒恒脑 2024-12-01 19:00:35 599人浏览

概要:

近期,流行的“Widget Options”插件被发现存在严重安全漏洞(CVE-2024-8672),该插件在全球范围内拥有超过10万的活跃安装。此漏洞的CVSS评分高达9.9,可能使得恶意攻击者通过获得贡献者级别或更高权限的用户访问,执行任意代码,对使用该插件的网站构成重大威胁。

主要内容:

该漏洞源于插件的“显示逻辑”功能,该功能扩展了多个页面构建器。用户输入的数据通过eval()函数处理,但未进行适当的过滤或权限检查。这一疏忽使得经过身份验证的攻击者能够注入并执行任意代码。

安全研究员Webbernaut发现并报告了此漏洞,建议插件开发者实施允许列表以限制可执行的命令,仅允许管理员执行。然而,这些建议在最新的补丁中并未得到完全采纳。

虽然最新版本(4.0.8)修复了这一漏洞,但安全专家警告称,当前的补丁可能并不完全可靠,解决问题的方式可能仍然给网站留下残余风险。因此,所有使用“Widget Options”插件的用户被强烈建议立即更新至4.0.8版本,并且网站管理员应保持警惕,监控网站的可疑活动。
系统漏洞利用 数据泄露 科技公司 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。