在2025年2月12日,安全研究员Lucio Sá发现了一个严重的安全漏洞,影响了Brizy Page Builder的版本2.6.8及以下。这个漏洞被命名为CVE-2024-13770,是一种已认证的(Author+)存储型跨站脚本攻击(Stored Cross-Site Scripting, XSS),通过SVG文件上传实现。
攻击机制
该漏洞允许攻击者通过上传特制的SVG文件,注入恶意脚本,并在用户访问包含这些SVG文件的页面时执行。这一过程不需要任何用户交互,攻击者可以在不需要任何认证的情况下实施攻击。
影响范围
这个漏洞影响了所有使用Brizy Page Builder版本2.6.8及以下的网站。如果这些网站没有及时更新到安全版本,可能会面临严重的安全风险,包括数据泄露和站点控制权被劫持。
安全建议
为了避免受到这个漏洞的影响,网站管理员应该立即更新Brizy Page Builder到最新版本(2.6.9或更高)。此外,使用Wordfence Intelligence提供的免费API和Webhook服务,可以实时监控最新的安全漏洞,并及时响应更新。
总结
CVE-2024-13770是一个需要紧急关注的安全漏洞,网站管理员应该尽快采取措施来保护自己的站点。通过及时更新和监控最新的安全信息,可以有效降低被攻击的风险。