在广泛使用的 WordPress 插件 HUSKY – Products Filter Professional for WooCommerce 中发现了一个严重漏洞。此安全漏洞被标记为CVE-2024-6457, CVSS 评分为9.8(严重),导致超过 100,000 家使用 WooCommerce 的在线商店容易受到未经授权的数据泄露。
该漏洞源于“woof_author”参数中对用户提供的输入的清理不足,允许恶意行为者将恶意 SQL 查询注入插件的数据库交互中。这种攻击称为 SQL 注入,攻击者可以利用它来提取敏感信息、修改数据,甚至完全控制底层数据库。
此漏洞的潜在后果非常严重。攻击者可能会窃取客户数据,包括个人身份信息 (PII)、支付卡详细信息和登录凭据。他们还可能篡改产品信息、破坏网站或破坏在线商店运营。
任何使用 HUSKY – Products Filter Professional for WooCommerce(版本 1.3.6 及以下)的在线商店都面临即时风险。鉴于该插件的受欢迎程度和广泛的用户群,此漏洞对 WooCommerce 生态系统的很大一部分构成了重大威胁。
HUSKY 的开发人员已及时发布修复版本1.3.6.1来解决 CVE-2024-6457 漏洞。强烈建议所有店主尽快更新到此版本或更新的修补版本。
修复版本1.3.6.1:
https://wordpress.org/plugins/woocommerce-products-filter/
原文始发于微信公众号(独眼情报):CVE-2024-6457 (CVSS 9.8):HUSKY 插件中的严重漏洞威胁 10 万多家 WooCommerce 商店
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论