威胁超 3 万网站: WordPress 主题/插件曝 9.8 分高危漏洞

IT之家1月23日消息，科技媒体bleepingcomputer昨日（1月22日）发布博文，报道称WordPress主题RealHome和插件EasyRealEstate存在严重安全漏洞，未经身份验证的用户可利用漏洞获取管理员权限，数万网站面临风险。

令人担忧的是，漏洞发现者Patchstack自2024年9月以来多次联系供应商InspiryThemes，但未得到任何回应，漏洞至今未修复。IT之家简要介绍下两个漏洞如下：

RealHome主题漏洞(CVE-2024-32444，CVSS评分：9.8):

该主题存在漏洞，通过inspiry_ajax_register函数注册新账户，但未进行正确的授权检查和随机数验证。

攻击者可在注册请求中将自身角色指定为“管理员”，绕过安全检查，进而完全控制WordPress网站，进行内容篡改、植入脚本、访问用户敏感数据等操作。

据EnvatoMarket数据显示，RealHome主题已应用于32600个网站。

EasyRealEstate插件漏洞(CVE-2024-32555，CVSS评分：9.8):

该插件的社交登录功能存在缺陷，允许用户仅凭邮箱地址登录，而无需验证邮箱地址的真实所有者。攻击者只需知道管理员的邮箱地址，即可无需密码登录并获得管理员权限，其后果与CVE-2024-32444类似。

由于InspiryThemes尚未发布补丁，强烈建议使用RealHome主题或EasyRealEstate插件的网站所有者和管理员立即禁用它们。鉴于漏洞信息已公开，攻击者很可能正在积极扫描易受攻击的网站，因此迅速采取缓解措施至关重要。