现代事件日历(Modern EventsCalendar),一款受欢迎的WordPress插件,已遭入侵。黑客正在积极利用一个严重的安全漏洞,允许他们远程上传和执行代码。
由Webnus开发的该插件被超过150,000个网站用于管理各种类型的活动,从现场聚会到虚拟研讨会。该漏洞被确定为CVE-2024-5441,如果不予以解决,将构成严重的安全风险。
漏洞详情
现代事件日历的漏洞最早是在2024年5月20日由FriderikaBaranyai在Wordfence漏洞赏金活动期间发现并报告的。WordFence在一份中表示,该安全问题源于插件的‘set_featured_image’函数中对文件类型验证不足。
在2024年5月20日,我们通过我们的漏洞赏金计划收到了关于现代事件日历中的任意文件上传漏洞的报告。感谢研究人员的发现,并获得了3,094美元的赏金。影响了150,000个站点。请立即更新到7.12.0版本。https://t.co/NqQHQXU3AI
— Wordfence (@wordfence)
该函数处理图像URL和帖子ID。如果未找到附件ID,它将通过‘get_web_page’函数下载图像。然后,通过‘wp_remote_get’或‘file_get_contents’获取图像,并使用‘file_put_contents’函数将其存储在WordPress的上传目录中。
现代事件日历版本高达7.11.0(包括7.11.0)缺乏对上传图像的文件类型或扩展名的验证,从而允许上传任何文件类型,包括潜在的有害.PHP文件。
紧急措施和更新
鉴于威胁的严重性,Webnus迅速做出反应,发布了更新版本的插件7.12.0,以解决这个关键漏洞。所有现代事件日历的用户,包括完整和精简版本的用户,都必须进行此更新,以防止未经授权的访问和潜在的网站劫持。
尽管修补程序迅速发布,但威胁仍在持续,Wordfence的报告显示,在漏洞发现后的24小时内,有。
对网站管理员的建议
强烈建议网站管理员立即将插件升级到最新版本。如果无法立即升级,建议暂时禁用该插件以防止潜在的攻击。
鉴于当前该漏洞的被利用情况,迅速采取行动对于维护网站安全和完整性至关重要。
阿纳斯·哈桑
2024年7月10日
4个月前
阿纳斯·哈桑是一个技术迷和网络安全爱好者。他在数字化转型产业领域有着丰富的经验。当阿纳斯不在博客上写作时,他会观看足球比赛。
