Patchstack 的安全研究员拉菲-穆罕默德(Rafie Muhammad)在最近的一份安全公告中发现了 Fancy Product Designer 插件中的关键漏洞。该插件由 Radykal 开发,销量已超过 20,000 件,以允许用户自由设计和个性化产品而闻名。然而,由于发现了严重的安全漏洞,数千个 WordPress 网站面临风险。Fancy Product Designer 插件受两个重大漏洞的影响:未经验证的任意文件上传 (CVE-2024-51919): 该漏洞的 CVSS 得分为 9.0,允许未经身份验证的用户向服务器上传任意文件,包括恶意 PHP 文件。漏洞存在于 save_remote_file 和 fpd_admin_copy_file 函数中。由于输入验证不足,攻击者可利用这些函数实现远程代码执行(RCE)。正如 Rafie Muhammad 解释的那样:”由于这两个函数没有适当的检查,如果有任何代码在没有额外文件检查的情况下利用这些函数,那么我们就可以实现任意文件上传。”未经验证的 SQL 注入(CVE-2024-51818): 该漏洞的 CVSS 得分为 9.3,允许未经身份验证的用户在数据库上执行任意 SQL 查询。根本原因在于 get_products_sql_attrs 函数未能正确处理用户输入。Muhammad 强调指出:”在这种情况下,strip_tags 函数本身并不足以防止 SQL 注入,因为该函数实际上只能清除 HTML、XML 和 PHP 标记。这一问题可能导致重大数据泄露或未经授权的数据库修改。截至报告发布时,这些漏洞在最新插件版本 6.4.3 中仍未得到修补。强烈建议使用 Fancy Product Designer 插件的网站管理员采取以下措施:立即禁用该插件。监控供应商的网站和官方渠道,以获取有关修补程序的更新。使用网络应用程序防火墙 (WAF) 检测和阻止利用企图。
