安全客周刊 01月22日
cve-2024-12857: AdForest 主题中的关键漏洞允许完全接管帐户,数千网站面临风险
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

AdForest WordPress主题存在严重安全漏洞,被评CVSS 9.8,影响多个版本。该漏洞源于登录时无法正确验证用户身份,使攻击者能以任意用户身份登录,可能导致严重后果,开发人员已发布新版本修复,建议用户立即更新。

🧐AdForest是流行高级分类广告主题,销量超8743个

😱漏洞允许攻击者绕过身份验证,完全控制网站

😨此漏洞可能导致修改内容、管理滥用等严重后果

👍开发人员已发布5.1.9版本解决漏洞,用户应尽快更新

发布时间 : 2025-01-22 11:04:02

CVE-2024-12857

在 AdForest WordPress 主题中发现了一个严重的安全漏洞 (CVE-2024-12857),AdForest WordPress 是一款流行的高级分类广告主题,在全球的销售量超过 8,743 个。该漏洞被评为 CVSS 9.8,允许攻击者完全绕过身份验证机制。

该漏洞由 Wordfence 的安全研究员 Chloe Chamberland 发现,影响 AdForest 5.1.8 及 5.1.8 之前的所有版本。该漏洞源于使用电话号码 OTP 登录时,主题无法在登录过程中正确验证用户身份。

这个漏洞使未经身份验证的攻击者能够以任何用户(包括管理员)的身份登录,而不需要实际的 OTP,从而完全控制 WordPress 网站。这可能导致以下严重后果

    完全控制网站:攻击者可以修改内容、注入恶意代码或窃取敏感数据。管理滥用: 恶意行为者可以创建具有管理权限的新账户,或锁定合法用户。网络钓鱼活动: 攻击者可利用受损网站发布钓鱼网页或恶意软件。

AdForest 开发人员已经发布了 5.1.9 版本来解决该漏洞。强烈建议所有 AdForest 主题的用户立即更新到最新版本。

商务合作,文章发布请联系 anquanke@360.cn

安全客

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

AdForest 安全漏洞 身份验证 更新版本
相关文章