近日,安全研究员Chloe Chamberland发现了AdForest WordPress主题中的一个严重漏洞(CVE-2024-12857)。该漏洞允许攻击者绕过身份验证机制,完全接管任何用户账户,包括管理员账户。这一漏洞影响所有AdForest主题版本,包括5.1.8及其之前版本。
问题出在主题无法正确验证用户身份时,特别是在使用手机号码OTP登录时。这种漏洞使得未经验证的攻击者可以登录任何用户账户,无需实际OTP,只需利用这一漏洞即可获得完全控制权。这种情况下,攻击者可以对WordPress网站进行各种操作,包括修改内容、注入恶意代码或窃取敏感数据。
此外,这种漏洞还可能导致以下后果:
- 全站被控: 攻击者可以修改网站内容、注入恶意代码或窃取敏感数据。
- 管理权限滥用: 恶意actor可以创建具有管理权限的新账户或锁定合法用户。
- 钓鱼活动: 攻击者可以利用被控网站发布钓鱼页面或恶意软件。
为了解决这一问题,AdForest开发团队已经发布了版本5.1.9。所有使用AdForest主题的用户被强烈建议立即更新到最新版本,以避免受到此漏洞的影响。
这次发现的漏洞再次提醒了我们,软件安全是一个持续关注的问题,需要不断地更新和修复,以确保系统的安全性。