Widget Options – 排名第一的 WordPress Widget 和块控制插件 <= 4.0.7 – 经过身份验证 (Contributor+) 远程代码执行 (CVE-2024-8672)
CVE编号
CVE-2024-8672
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-28
漏洞描述
WordPress中的Widget Options——The #1 WordPress Widget & Block Control Plugin插件在4.0.7版本及之前版本中存在远程代码执行漏洞。该漏洞源于插件中的显示逻辑功能,该功能扩展了多个页面构建器。插件允许用户输入会通过eval()函数进行处理,但没有进行任何过滤或能力检查。这使得具有贡献者级别访问权限及以上的认证攻击者可以在服务器上执行代码。特别提醒:我们曾建议供应商实施一个允许的函数列表,并将执行命令的能力仅限于管理员。然而,他们没有采纳我们的建议。虽然我们认为这个问题已经修复了,但我们仍然认为可以进一步加强安全性,并且可能存在残余风险。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论