資安廠商 WordFence 日前發表研究報告,指出該公司發現 WordPress 一支熱門外掛程式 Fancy Product Designer,存有一個可讓駭侵者遠端執行任意程式碼的 0-day 嚴重漏洞。
Fancy Product Designer 是一個讓 WordPress、WooCommerce 與 Shopify 用戶以視覺方式設計商品頁面版面配置的外掛程式,據估計有超過 17,000 個網站都安裝了 Fancy Product Designer。
被發現的 0-day 漏洞,其 CVE 編號為 CVE-2021-24370,CVSS 嚴重程度評分高達 9.8 分(滿分為 10 分),屬於最高的嚴重等級;該漏洞存於 Fancy Product Designer 在處理上傳 PDF 或影像檔案時的安全掃瞄能力不足,駭侵者可以輕易跳過安全檢查流程,並且上傳惡意的 php 程式檔案到裝有 Fancy Product Designer 的網站,不但可以執行任意程式碼,更能讓駭侵者奪取網站的控制權。
WordFence 說,安裝了 Fancy Product Designer 的 WordPress 和 WooCommerce 網站,會受到這個 0-day 漏洞的影響,但安裝此外掛的 Shopify 網站,得益於其較嚴格的資安控制,並不會受此漏洞波及。
WordFence 自 5 月 16 日起觀測到大量使用該漏洞進行的攻擊事件,也在第一時間通報 Fancy Product Designer 的開發者,但由於這個漏洞屬於 0-day 漏洞,因此目前尚無新版的 Fancy Product Designer 可供下載;現階段的暫時處理方式,就是徹底移除 Fancy Product Designer,直到資安修補版本推出為止。
- CVE編號:CVE-2021-24370
- 影響產品/版本:Fancy Product Designer 4.6.8 及之前所有版本
- 解決方案:在更新版本推出前,應徹底移除 Fancy Product Designer
本文轉載自TWCERT/CC。