HackerNews 编译,转载请注明出处:
Radykal开发的WordPress高级插件Fancy Product Designer在其当前最新版本中仍存在两个未修复的严重安全漏洞。
该插件销量超过2万次,允许WooCommerce网站的用户在产品设计(如服装、马克杯、手机壳)中进行颜色更换、文本转换或尺寸修改等自定义操作。
2024年3月17日,Patchstack的Rafie Muhammad在检查该插件时发现,该插件存在以下两个严重漏洞:
- CVE-2024-51919(CVSS评分:9.0):由于文件上传功能“save_remote_file”和“fpd_admin_copy_file”实现不安全,未正确验证或限制文件类型,导致未经身份验证的任意文件上传漏洞。攻击者可通过提供远程URL上传恶意文件,实现远程代码执行(RCE)。CVE-2024-51818(CVSS评分:9.3):由于使用了不足的“strip_tags”函数,导致用户输入未得到适当净化,从而引发未经身份验证的SQL注入漏洞。用户提供的输入未经适当验证便直接整合到数据库查询中,可能导致数据库被攻破,数据被检索、修改或删除。
Patchstack在发现这些问题后一天便通知了供应商,但Radykal至今未作回应。
Patchstack于1月6日将这两个漏洞添加到其数据库中,并于今日发布博客文章,以警告用户并提高对此类风险的认识。
Muhammad表示,尽管Radykal发布了20个新版本,且最新版本6.4.3也于2个月前发布,但这两个严重的安全问题仍未得到修复。
Patchstack的文章为攻击者提供了足够的技术信息,以便他们创建漏洞利用工具并开始针对使用Radykal的Fancy Product Designer插件的网店发起攻击。
作为一般建议,管理员应通过创建包含安全文件扩展名的允许列表来防止任意文件上传。此外,Patchstack还建议,通过对用户查询输入进行安全转义和格式化来净化输入,从而防范SQL注入攻击。
BleepingComputer已联系Radykal,询问其是否计划近期发布安全更新,但截至发稿时尚未收到回复。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
