CVE-2024-9488 (CVSS 9.8): wpDiscuz 插件中的身份验证绕过漏洞,80,000 多个网站面临风险

阅读量26237

发布时间 : 2024-10-28 10:41:44

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/cve-2024-9488-cvss-9-8-authentication-bypass-flaw-in-wpdiscuz-plugin-over-80000-sites-at-risk/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-9488

wpDiscuz 是一款广泛使用的 WordPress 插件,活跃安装量超过 80,000 个。该漏洞被追踪为 CVE-2024-9488,CVSSv3 得分为 9.8,未经身份验证的攻击者可利用该漏洞劫持用户账户,包括具有管理权限的账户。

wpDiscuz 因其交互式评论功能和用户参与工具而闻名,已成为许多 WordPress 网站的主要工具。然而,这个新发现的漏洞给它的受欢迎程度蒙上了一层阴影。该漏洞源于社交登录过程中用户身份验证不足。攻击者如果能获得用户的电子邮件地址并利用这一弱点,就有可能在未经授权的情况下访问用户的账户。

这对安全的影响非常严重:利用 CVE-2024-9488 的攻击者可以完全访问网站的管理功能,从而有可能更改内容、安装恶意插件,甚至锁定合法用户。wpDiscuz 的参与增强功能可能会突然成为数据盗窃、内容篡改和其他形式网络犯罪的工具。

所有使用 wpDiscuz 的网站都需要采取紧急行动。开发人员已在 7.6.25 版中解决了这一漏洞。强烈建议网站管理员立即更新到该版本。

除更新插件外,网站所有者还应考虑:

  • 密码审查: 鼓励用户更改密码,尤其是使用社交登录的用户。
  • 双因素身份验证: 实施双因素身份验证,为用户账户增加一层额外的安全保护。
  • 定期安全审计: 定期进行安全审计和漏洞扫描,以发现并解决潜在的薄弱环节。
本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66