在 WordPress 的 RealHome 主题和 Easy Real Estate 插件中发现了两个关键的零日漏洞,允许未经身份验证的用户获得受影响网站的管理权限。尽管在 2024 年 9 月被安全公司 Patchstack 发现,但供应商 InspiryThemes 并未回应多次联系尝试,并在此后发布了三个版本,但没有解决这些安全漏洞。
这些漏洞被跟踪为 CVE-2024-32444 和 CVE-2024-32555,CVSS 评分均为 9.8,表明其严重性很高。RealHome 主题中的第一个缺陷允许攻击者通过利用缺乏适当授权检查的 inspiry_ajax_register 功能将账户注册为管理员。Easy Real Estate 插件中的第二个问题涉及社交登录功能,使未经授权的用户无需电子邮件验证即可登录。这两个漏洞都授予攻击者对受影响的 WordPress 网站的完全控制权,从而构成数据操纵和未经授权访问的重大风险。来源