在 KLEO WordPress 主题中发现了一个严重漏洞,攻击者有可能借此接管用户账户。该漏洞编号为 CVE-2024-56000,CVSS 评分达 9.8,受影响的是 K Elements 插件,它与 KLEO 主题捆绑在一起,提供自定义元素和短代码。KLEO 主题销量超 23000 份,是 WordPress 生态系统中最受欢迎的高级 BuddyPress 主题之一。该漏洞源于 Facebook 社交登录流程中的缺陷。攻击者可在登录过程中提供目标用户的电子邮件地址来利用此漏洞,绕过身份验证进而获取账户访问权限。出现这种情况是因为代码在 Facebook 登录过程中没有正确验证用户身份。根据 Patchstack 的安全公告,“该漏洞是由于 Facebook 社交登录流程中的逻辑错误导致的,用户只需提供其他用户的账户电子邮件地址,就能登录其账户。” 该公告进一步解释称,潜在漏洞存在于 kleo_fb_intialize 函数中,代码在该函数中根据从 Facebook 接收的数据构建用户 ID ,但未进行适当验证。供应商 SeventhQueen 已在 K Elements 插件 5.4.0 版本中修复了该漏洞。补丁对 Facebook 登录流程进行了适当检查,使用 kleo_verify_facebook_token_and_get_data 函数通过用户的 Facebook 访问令牌获取并验证用户数据。强烈敦促 KLEO 主题的用户立即更新到 K Elements 插件的最新版本。还建议检查账户活动,查看是否有被入侵迹象,并更改密码作为预防措施。
