5月27日新加坡網路安全局(Cyber Security Agency of Singapore)發布資安公告,指出上週公布的9個WordPress外掛程式漏洞相當值得留意,因為這些漏洞都非常危險,而且,已有部分被用於攻擊行動。
根據CVSS風險評分,最嚴重的漏洞是CVE-2024-31351,影響1.6版以前的AI內容寫作及生成工具WordPress Copymatic,此為任意檔案上傳漏洞,一旦遭到利用,攻擊者就有機會在未通過身分驗證的情況下,將後門程式上傳到網站,從而得到存取權限,CVSS風險評分達到10分。
其餘漏洞幾乎都是達到CVSS風險評分9.8的危險程度,這些漏洞包括:
●表單建置工具Hash Form的未經授權任意檔案上傳漏洞CVE-2024-5084
●國家及地區下拉式選單工具Country State City Dropdown CF7的SQL注入漏洞CVE-2024-3495
●小工具及範本元件工具WPZOOM Addons for Elementor的未經授權本機檔案包含(Local File Inclusion)漏洞CVE-2024-5147
●網站目錄建置工具Business Directory Plugin的SQL注入漏洞CVE-2024-4443
●使用者個人檔案外掛UserPro的帳號挾持漏洞CVE-2024-35700
●Fluent Forms聯絡表單外掛程式的權限提升漏洞CVE-2024-2771
●網站目錄建置工具Web Directory Free的SQL注入漏洞CVE-2024-3552
除了CVE-2024-3552的CVSS風險評分略低,為9.3分,其餘上述漏洞皆達到9.8分的危險層級。
值得留意的是,新加坡網路安全局特別提及CVE-2024-2771已用於攻擊行動。但有鑑於上述漏洞都非常危險,WordPress網站管理員應該儘速套用新版外掛程式進行修補。
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07