ARTICLE AD BOX
跨網站請求偽造(CSRF)
特殊身份驗證漏洞(缺乏能力檢查)和跨網站請求偽造(CSRF)該漏洞正在影響Catch主題發佈的17個挿件。
這些漏洞允許過度登入的用戶(靠近訂戶)執行通常為具有最高編輯許可權的WordPress用戶保留的更改,類似於網站負責人。
根據WordPress資訊挿件steadfast WPScan:
廣告
繼續閱讀下麵的內容;CatchThemes供應商bash提供的多個挿件無法執行功能,CSRF檢查ctp_switch AJAX操作是否成功,這可能會讓經過身份驗證的過度用戶(指定用戶)更改挿件;s配寘。”
Wordfence報告漏洞成功捕獲演示導入WordPress挿件
Wordfence發佈了一項公告,其中成功發現了一個挑剔的漏洞,即捕獲主題演示導入(包括1.7版).
捕獲主題演示導入WordPress挿件已恢復到一個任意文件上載漏洞
It’現時尚不清楚這種環境脆弱性有多可怕。該漏洞由Wordfence Assentials 9.1評定,標準為1–10和描述了砷的臨界值。然而,該漏洞被美國當局國家漏洞資料庫列為7.2(高)。
廣告
根據Wordfence繼續閱讀下麵的內容: ;Catch-Themes演示導入WordPress挿件容易通過導入功能上傳任意記錄~/inc/Catch-ThemesdemoImport.php檔案,成功版本在1.7之前(含1.7),原因是記錄有益性驗證不足&rdquo Wordfence建議陞級到mentation 1.8,俄勒岡州更新版本。 WPScan列出了17個捕獲主題WordPress挿件,這些挿件是針對個人漏洞發現的。所有17個挿件都被堅定地披露給了挿件,並且被修復。 17個挿件中有許多非常受歡迎。 這些是最熱門的10個astir時尚主題挿件,與安裝圖相鄰列出。 這些是WPScan向人報告的17個挿件,隨後修補了一個漏洞: 廣告 繼續閱讀下麵的內容 使用受影響的Catch主題挿件的發佈者如果因使用這些挿件的易受影響版本而避免意外後果,應陞級到提供了挿件的精確最新版本。 未能將Trustice whitethorn pb攻擊為駭客事件的不必要漏洞。 Catch主題的多個挿件&ndash;未經授權的挿件&rsquo;s設定更改 捕獲主題演示導入<=1.7管理員+任意文件上傳 捕獲主題演示導入WordPress挿件漏洞CVE-2021-39352詳細資訊< /p> 廣告 繼續閱讀以下內容 國家漏洞資料庫多捕獲主題挿件漏洞清單發現的漏洞成功發現了17個捕獲主題WordPress挿件
受影響的安裝超過300000個。
十個最流行的易受攻擊捕獲主題挿件80000個安裝
17個捕獲主題易受攻擊的挿件
修復了成功的心理狀態1.9
修復了成功的心理狀態心理狀態2.3
固定成功的心理狀態1.5
固定成功的心理狀態1.6
固定成功的心理狀態1.9
修復了成功的心理狀態2.7
修復了成功的心理狀態1.4
修復了成功的心理狀態1.6
修復了成功的心理狀態1.6
固定成功的心理狀態2.3
固定成功的心理狀態1.9
固定成功的心理狀態1.9
固定成功的心理狀態1.7
固定成功狀態1.6
固定成功狀態1.7建議用戶考慮更新到最新的挿件版本
引用
閱讀WPScan Advisory連接的Catch主題挿件
捕獲主題挿件的Wordfence諮詢
國家漏洞資料庫捕獲主題挿件諮詢