Backup and Staging - CVE-2024-8856

流行的 WordPress 备份插件 WP Time Capsule 存在一个严重漏洞,导致 20,000 多个网站容易被完全接管。

该漏洞(CVE-2024-8856)由安全研究员Rein Daelman发现,未经认证的攻击者可将任意文件上传到网站服务器。这意味着恶意行为者有可能注入后门、恶意软件,甚至完全控制网站。

该漏洞源于插件的 UploadHandler.php 文件缺乏文件类型验证,以及缺乏直接文件访问防护。这种危险的组合为攻击者提供了入侵易受攻击网站的直接途径。

该漏洞的 CVSS 得分为 9.8,被列为严重漏洞。这强调了网站所有者立即采取行动的紧迫性。

成功利用此漏洞可能导致

数据泄露: 攻击者可能窃取敏感的用户信息、财务数据或专有内容。

网站篡改: 恶意行为者可能会篡改网站内容,损害网站声誉和用户信任。

恶意软件传播: 网站可能被用来向毫无戒心的访问者分发恶意软件。

完全接管服务器: 攻击者可以完全控制托管网站的服务器。

WP Time Capsule 开发团队已在 1.22.22 版本中解决了这一漏洞。强烈建议所有用户立即更新到该版本。

以下是 WordPress 用户的一些基本最佳实践:

保持更新插件和主题: 定期将所有插件和主题更新到最新版本,以修补安全漏洞。

使用强大的密码: 为 WordPress 管理员账户和所有用户账户选择强大、唯一的密码。

实施双因素身份验证: 启用双因素身份验证,增加一层额外的安全性。

定期备份网站: 备份对于从安全事故或数据丢失中恢复至关重要。

选择信誉良好的插件: 只安装来源可靠、安全记录良好的插件。

文章原文链接:https://www.anquanke.com/post/id/301939