[主题] “MultiPurpose”(1.2.0 及以下版本)已验证 (Contributor+) PHP 对象注入漏洞。

漏洞概述。

  • 插件/主题名称: 多用途
  • 受影响版本: 1.2.0 及以下
  • 漏洞类型:已验证 (Contributor+) PHP 对象注入
  • CVE ID: CVE-2024-7486
  • 严重性:高
  • 官方网页 URL:未知

漏洞描述

我们报告了多用途 WordPress 主题中的一个漏洞。 该漏洞存在于 1.2.0 以下版本的多用途主题中,属于已验证 (Contributor+) PHP 对象注入类型。 具体来说,它允许授权用户(拥有贡献者或更高权限的用户)通过特定输入注入 PHP 对象。 这可能会让攻击者在整个系统上执行任意代码或执行恶意操作。 这种影响是广泛的,而且被认为是一个非常严重的漏洞,因为有可能完全失去对网站的控制。

脆弱性背景。

该漏洞源于 PHP 中一个名为 “对象注入 “的技术问题。 当序列化数据被不当处理时,就会发生 PHP 对象注入。 历史上,在其他内容管理系统和网络应用程序中也发现过类似的漏洞,并因其影响而备受关注。 特别是 WordPress 被广泛使用,如果这类漏洞被发现,许多网站都可能受到影响。

反措施的方法和影响

作为防范该漏洞的具体措施,建议将主题版本升级到最新版本。 不过,目前还没有关于已修复漏洞的版本的信息,因此您需要等待官方更新信息。 同样重要的是,网站管理员应限制权限高于 “贡献者 “的用户访问,并确保只有受信任的用户才有这些权限。 如果不采取应对措施,就会增加网站被攻击者劫持的风险,从而造成严重后果,包括数据泄露、篡改和服务中断。

术语解释。

  • PHP 对象注入:PHP 对象注入是一种攻击技术,通过不适当地处理序列化数据来注入任意 PHP 对象,从而执行恶意代码。
  • CVSS:通用漏洞评分系统(Common Vulnerability Scoring System)的缩写,这是一种用于评估漏洞严重性的标准评分系统。
  • CVE:Common Vulnerabilities and Exposures 的缩写,这是一个为公开披露的漏洞分配唯一标识符的系统。
  • 撰稿人:WordPress 的一种用户权限,允许您创建帖子,但不能发布帖子。

信息来源

本记录包含受版权保护的资料。

版权所有 2012-2024 Defiant Inc.

许可:Defiant 特此授予您永久的、全球性的、非排他性的、免费的、不可撤销的版权许可,允许您复制、制作衍生作品、公开展示、公开执行、再许可和分发本软件漏洞信息。本软件漏洞信息的复制、制作衍生作品、公开展示、公开执行、再许可和分发。 您出于上述目的制作的任何软件漏洞信息副本都是授权的,前提是您必须包含指向本漏洞的超链接。在任何此类副本中记录和复制 Defiant 的版权说明和本许可。 阅读更多

脆弱性情報を受け取る