WordPress 的 Woody Code Snippets 插件中发现了一个严重的安全漏洞,该插件是 70,000 多个网站用来创建和管理代码片段的流行工具。该漏洞被标识为CVE-2024-3105,允许远程代码执行 (RCE),对使用此插件的网站构成严重风险。该漏洞的 CVSS 评分为9.9,具有贡献者级别或更高访问权限的经过身份验证的用户可以利用该漏洞,从而可能允许他们在服务器上执行任意代码。
Woody Code Snippets 插件可帮助管理员使用短代码将代码片段或重复文本插入网站的各个部分,例如页眉、页脚和帖子。该插件还提供条件逻辑来控制这些片段的显示。但是,该插件的insert_php 短代码功能无法正确限制只有高级授权用户才能使用它,从而为较低权限的用户利用此功能创造了机会。
由于缺乏足够的权限检查,贡献者及以上级别的人员可以利用insert_php 短代码在服务器上执行任意PHP 代码。这可能导致服务器完全被攻陷、数据被盗、网站被破坏或恶意软件进一步传播。
安全研究员Webbernaut因发现并报告此缺陷而受到赞誉。
Woody 代码片段的开发人员发布了2.5.1版本以解决CVE-2024-3105漏洞。建议所有使用该插件的用户立即更新至此版本,以保护其网站免受潜在攻击。
网站所有者和管理员还应监控其网站是否存在任何可疑活动,例如内容的意外更改或未经授权的用户帐户。如果发现任何入侵迹象,应立即采取行动以确保网站安全并调查损害程度。
暂无PoC
原文始发于微信公众号(独眼情报):CVE-2024-3105 (CVSS 9.9) WordPress插件Woody Code Snippets存在RCE
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论