来自 Radykal 的高级 WordPress 插件 Fancy Product Designer 存在两个严重漏洞,目前的最新版本仍未修复。该插件允许在 WooCommerce 网站上通过更改颜色、转换文本或修改大小来定制产品设计(如服装、马克杯、手机壳等),其销售量已超过 20,000 件。在检查该插件时,Patchstack 的 Rafie Muhammad 于 2024 年 3 月 17 日发现该插件存在以下两个关键漏洞:CVE-2024-51919 (CVSS score: 9.0): 文件上传函数 “save_remote_file ”和 “fpd_admin_copy_file ”未正确验证或限制文件类型,导致未验证的任意文件上传漏洞。攻击者可通过提供远程 URL 来上传恶意文件,从而实现远程代码执行 (RCE)。CVE-2024-51818 (CVSS 得分:9.3): 由于使用了不充分的 “strip_tags”,对用户输入进行了不适当的消毒,从而导致了未经验证的 SQL 注入漏洞。用户提供的输入未经适当验证就直接集成到数据库查询中,可能导致数据库泄露、数据检索、修改和删除。尽管 Patchstack 在发现问题一天后就通知了供应商,但 Radykal 一直没有回复。1 月 6 日,Patchstack 将这些漏洞添加到其数据库中,并在今天发表了一篇博文,警告用户并提高对风险的认识。Muhammad 说,即使在发布了 20 个新版本(最新版本是两个月前发布的 6.4.3)之后,这两个关键安全问题仍未得到修补。Patchstack 的文章提供了足够的技术信息,攻击者可以创建漏洞并开始攻击使用 Radykal 的 Fancy Product Designer 插件的网店。作为一般建议,管理员应创建一个包含安全文件扩展名的允许列表,防止任意上传文件。此外,Patchstack 还建议通过安全转义和格式化用户查询输入来防止 SQL 注入。BleepingComputer 联系了 Radycal,询问他们是否计划尽快发布安全更新,但对方没有立即发表评论。
