这个流行的WordPress网站构建器存在严重的安全问题
发布日期:2024-05-10 17:30:37
导读 拥有数万用户的流行WordPress主题存在一个高严重性漏洞,允许威胁行为者运行恶意PHP代码。针对该漏洞的补丁已经发布,黑客已开始针对易受攻...
拥有数万用户的流行WordPress主题存在一个高严重性漏洞,允许威胁行为者运行恶意PHP代码。针对该漏洞的补丁已经发布,黑客已开始针对易受攻击的网站来禁用安全插件。
该出版物称,一位化名“snicco”的安全研究人员最近在BrickBuilder主题中发现了一个漏洞,该主题是一个拥有约25,000个活跃安装的商业网站构建器。
该漏洞是一个远程代码执行(RCE)缺陷,现在跟踪为CVE-2024-25600,并标记为“严重”。
安全平台Patchstack向BrickBuilder主题开发人员通报了调查结果,后者于2月13日发布了修复程序。在发现该漏洞时,没有任何证据表明有人在野外利用该漏洞。尽管如此,开发人员还是敦促用户将主题升级到1.9.6.1版本,因为一旦消息传出,黑客必然会开始扫描易受攻击的网站。
“截至本新闻稿发布时,没有证据表明该漏洞已被利用。然而,1.9.6.1更新延迟的时间越长,被利用的可能性就越大。”开发人员在安全公告中表示。“尽快将您的所有Bricks站点更新到最新的Bricks1.9.6.1。但至少在接下来的24小时内。越早越好。”
他们是对的,就在补丁发布一天后(即2月14日),Patchstack报告称发现了利用尝试。Wordfence现在每天声称至少有两打攻击尝试。
WordPress是世界上最受欢迎的网站构建器,因此也是黑客的热门目标。然而,该平台本身通常被认为是安全的,免费和商业插件是最薄弱的环节。商业插件的好消息是它们得到积极维护,并且像这样的缺陷很快就能得到修复。
标签: