在最新发布的版本(4.0.8 版)中,流行的 “Widget Options ”插件中的一个重要安全漏洞(CVE-2024-8672)已被修补,该插件拥有超过 100,000 个活跃安装。该漏洞的 CVSSv3 得分为 9.9,对使用该插件的网站构成了重大威胁,可能允许拥有贡献者级别或以上访问权限的恶意行为者在服务器上执行任意代码。
漏洞:
该漏洞源于插件的 “显示逻辑 ”功能,它扩展了多个页面构建器。该功能允许用户输入数据,然后通过 eval() 函数传递,而不进行适当的过滤或能力检查。这一疏忽为通过验证的攻击者注入和执行任意代码打开了大门。
研究人员建议忽略:
安全研究员 Webbernaut 发现并报告了 CVE-2024-8672,他建议插件开发人员实施允许函数列表,并限制只有管理员才能执行命令。遗憾的是,这些建议并未在补丁中被完全采纳。
补丁和残余风险:
虽然最新更新(4.0.8 版)解决了眼前的漏洞,但安全专家警告说,当前的补丁可能并非完全万无一失。解决该问题的方式仍可能给网站带来残余风险。
行动呼吁:
强烈建议 “Widget Options”插件的所有用户立即升级到 4.0.8 版本。网站管理员也应保持警惕,监控网站上的任何可疑活动。