小百科,大世界 |
---|
首页 / 计算机 / IT资讯 |
[4]未修补的关键缺陷影响 Fancy Product Designer WordPress 插件 繁體 |
|
来自 Radykal 的高级 WordPress 插件 Fancy Product Designer 存在两个严重漏洞,目前的最新版本仍未修复。 该插件允许在 WooCommerce 网站上通过更改颜色、转换文本或修改大小来定制产品设计(如服装、马克杯、手机壳等),其销售量已超过 20,000 件。 在检查该插件时,Patchstack 的 Rafie Muhammad 于 2024 年 3 月 17 日发现该插件存在以下两个关键漏洞:
尽管 Patchstack 在发现问题一天后就通知了供应商,但 Radykal 一直没有回复。 1 月 6 日,Patchstack 将这些漏洞添加到其数据库中,并在今天发表了一篇博文,警告用户并提高对风险的认识。 Muhammad 说,即使在发布了 20 个新版本(最新版本是两个月前发布的 6.4.3)之后,这两个关键安全问题仍未得到修补。 Patchstack 的文章提供了足够的技术信息,攻击者可以创建漏洞并开始攻击使用 Radykal 的 Fancy Product Designer 插件的网店。 作为一般建议,管理员应创建一个包含安全文件扩展名的允许列表,防止任意上传文件。此外,Patchstack 还建议通过安全转义和格式化用户查询输入来防止 SQL 注入。 BleepingComputer 联系了 Radycal,询问他们是否计划尽快发布安全更新,但对方没有立即发表评论。
本文翻译自bleepingcomputer 原文链接。如若转载请注明出处。
商务合作,文章发布请联系 anquanke@360.cn
本文由安全客原创发布 转载,请参考转载声明,注明出处: /post/id/303401 安全KER - 有思想的安全新媒体 [来源: 安全客] |
首页 / 计算机 / IT资讯 |
资源来自网络,仅供参考 |