1 月 23 日消息，科技媒體 bleepingcomputer 昨日（1 月 22 日）發(fā)布博文，報道稱 WordPress 主題 RealHome 和插件 Easy Real Estate 存在嚴重安全漏洞，未經(jīng)身份驗證的用戶可利用漏洞獲取管理員權限，數(shù)萬網(wǎng)站面臨風險。

令人擔憂的是，漏洞發(fā)現(xiàn)者 Patchstack 自 2024 年 9 月以來多次聯(lián)系供應商 InspiryThemes，但未得到任何回應，漏洞至今未修復。兩個漏洞如下：

RealHome 主題漏洞 (CVE-2024-32444，CVSS 評分：9.8):

RealHome 是一款專為房地產(chǎn)經(jīng)紀人和公司設計的WordPress主題，以其高度靈活性、現(xiàn)代化設計和強大的功能而備受推崇。它旨在通過優(yōu)雅的界面展示房產(chǎn)信息，并簡化房產(chǎn)管理流程

該主題存在漏洞，通過 inspiry_ajax_register 函數(shù)注冊新賬戶，但未進行正確的授權檢查和隨機數(shù)驗證。

攻擊者可在注冊請求中將自身角色指定為“管理員”，繞過安全檢查，進而完全控制 WordPress 網(wǎng)站，進行內(nèi)容篡改、植入腳本、訪問用戶敏感數(shù)據(jù)等操作。

據(jù) Envato Market 數(shù)據(jù)顯示，RealHome 主題已應用于 32600 個網(wǎng)站。

Easy Real Estate 插件漏洞 (CVE-2024-32555，CVSS 評分：9.8):

Easy Real Estate 是一款專為房地產(chǎn)網(wǎng)站設計的WordPress插件，旨在幫助用戶輕松管理和展示房產(chǎn)信息。它提供了全面的功能，支持多種定制化選項，能夠滿足房地產(chǎn)網(wǎng)站的多樣化需求

該插件的社交登錄功能存在缺陷，允許用戶僅憑郵箱地址登錄，而無需驗證郵箱地址的真實所有者。攻擊者只需知道管理員的郵箱地址，即可無需密碼登錄并獲得管理員權限，其后果與 CVE-2024-32444 類似。

由于 InspiryThemes 尚未發(fā)布補丁，強烈建議使用 RealHome 主題或 Easy Real Estate 插件的網(wǎng)站所有者和管理員立即禁用它們。鑒于漏洞信息已公開，攻擊者很可能正在積極掃描易受攻擊的網(wǎng)站，因此迅速采取緩解措施至關重要。