ThemeFusion 的多用途 WordPress 主題Avada已修復(fù)任意文件上傳漏洞。Avada 是 ThemeForest 最受歡迎的優(yōu)質(zhì)主題之一,銷量接近 95 萬。
Muhammad Zeeshan (Xib3rR4dAr) 在Wordfence的 Bug Bounty Extravaganza期間負(fù)責(zé)任地報(bào)告了此漏洞,并為他贏得了 2,751 美元。研究人員將其歸類為“高度嚴(yán)重”問題,CVSS 評(píng)分為 8.8,并強(qiáng)烈建議更新主題。
Avada 主題容易受到任意文件上傳的攻擊,因?yàn)樵?7.11.4 及之前的所有版本中,ajax_import_options() 函數(shù)中缺少文件類型驗(yàn)證。這使得具有貢獻(xiàn)者級(jí)別及以上訪問權(quán)限的經(jīng)過身份驗(yàn)證的攻擊者可以在受影響站點(diǎn)的服務(wù)器上上傳任意文件,這可能使遠(yuǎn)程代碼執(zhí)行成為可能。
該漏洞的性質(zhì)允許攻擊者上傳任意惡意 PHP 代碼并在服務(wù)器上遠(yuǎn)程執(zhí)行代碼。即使上傳的文件被刪除,攻擊者仍然可以上傳多個(gè)大文件,因?yàn)槲募U(kuò)展名沒有限制。
Muhammad Zeeshan 于 2 月 6 日聯(lián)系了 ThemeFusion 團(tuán)隊(duì),并于 2 月 12 日發(fā)布了主題的補(bǔ)丁版本。我們敦促所有 Avada 用戶立即將其網(wǎng)站更新到主題 7.11.5 最新版本。
