流行的“Themify - WooCommerce Product Filter”插件存在严重安全漏洞,超过 30,000 家使用 WooCommerce 的在线商店可能面临严重数据泄露的风险。该漏洞被追踪为CVE-2024-6027 (CVSS 9.8),可能允许攻击者从商店的数据库中提取敏感信息,包括客户姓名、地址甚至信用卡详细信息。
有什么问题?
缺陷源于插件处理用户提供的数据时存在基于时间的 SQL 注入漏洞。攻击者可以通过操纵用于过滤产品搜索的“条件”参数来利用此漏洞。这可能会授予他们未经授权访问底层数据库的权限,从而可能暴露大量机密信息。
谁受到影响了?
任何运行 Themify – WooCommerce 产品过滤器插件版本 1.4.9 或更早版本的在线商店都存在漏洞。该插件非常受欢迎,拥有超过 30,000 个活跃安装,因此可能造成广泛影响。
发现与补丁
安全研究员 Arkadiusz Hydzik 发现了 CVE-2024-6027漏洞,并负责任地将其披露给插件开发人员。虽然目前没有证据表明该漏洞被积极利用,但商店所有者必须立即采取行动,因为未修补的WordPress漏洞经常成为网络犯罪分子的目标。
你该怎么办?
如果您使用 Themify – WooCommerce 产品过滤器插件,那么您需要立即执行以下操作:
-
立即更新:升级插件至最新版本(1.5.0或更高版本)。此修补版本修复了漏洞并确保您商店的安全。
-
检查您的数据:虽然没有主动利用的报告,但明智的做法是审核您的数据库和网站日志,以查找任何可疑活动。查找任何未经授权的访问尝试或不寻常的数据修改。
-
考虑专业帮助:如果您不愿意自己更新插件或不确定您的网站是否已被入侵,请寻求网络安全专业人士的帮助。
原文始发于微信公众号(独眼情报):CVE-2024-6027 (CVSS 9.8) wordpress网站插件又爆严重漏洞了
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论