安全研究人员在 Fancy Product Designer WordPress 插件中发现了一个严重的文件上传漏洞,该漏洞正被广泛利用。

开发安全解决方案以保护 WordPress 安装的 Wordfence 的研究人员在漏洞细分中指出,受影响的插件安装在 17,000 多个站点上。

Fancy Product Designer 插件使用户能够上传图像和 PDF 文件,然后可以将其添加到网站上列出的产品中。

Wordfence 发现虽然插件有一些检查来防止上传恶意文件,但这些检查是可以绕过的。因此,威胁行为者可以上传可执行的 PHP 代码以进行任何类型的远程代码执行 (RCE) 攻击,包括整个站点接管。

尚未修复
Wordfence在发现该漏洞被广泛利用的当天就联系了该插件的开发者,并在24小时内得到了回复。

Wordfence 研究人员写道:“由于此漏洞正在被积极利用,我们已经公开披露了最少的细节,即使它没有被修补,以提醒社区采取预防措施来保护他们的网站。”

p>

Wordfence 警告说,即使该插件已被禁用,在某些配置中仍可能会利用一个严重的零日漏洞,并敦促所有用户完全卸载该插件,直到有补丁版本可用。