HackerNews 编译，转载请注明出处： Radykal开发的WordPress高级插件Fancy Product Designer在其当前最新版本中仍存在两个未修复的严重安全漏洞。 该插件销量超过2万次，允许WooCommerce网站的用户在产品设计（如服装、马克杯、手机壳）中进行颜色更换、文本转换或尺寸修改等自定义操作。 2024年3月17日，Patchstack的Rafie Muhammad在检查该插件时发现，该插件存在以下两个严重漏洞： CVE-2024-51919（CVSS评分：9.0）：由于文件上传功能“save_remote_file”和“fpd_admin_copy_file”实现不安全，未正确验证或限制文件类型，导致未经身份验证的任意文件上传漏洞。攻击者可通过提供远程URL上传恶意文件，实现远程代码执行（RCE）。 CVE-2024-51818（CVSS评分：9.3）：由于使用了不足的“strip_tags”函数，导致用户输入未得到适当净化，从而引发未经身份验证的SQL注入漏洞。用户提供的输入未经适当验证便直接整合到数据库查询中，可能导致数据库被攻破，数据被检索、修改或删除。 Patchstack在发现这些问题后一天便通知了供应商，但Radykal至今未作回应。 Patchstack于1月6日将这两个漏洞添加到其数据库中，并于今日发布博客文章，以警告用户并提高对此类风险的认识。 Muhammad表示，尽管Radykal发布了20个新版本，且最新版本6.4.3也于2个月前发布，但这两个严重的安全问题仍未得到修复。 Patchstack的文章为攻击者提供了足够的技术信息，以便他们创建漏洞利用工具并开始针对使用Radykal的Fancy Product Designer插件的网店发起攻击。 作为一般建议，管理员应通过创建包含安全文件扩展名的允许列表来防止任意文件上传。此外，Patchstack还建议，通过对用户查询输入进行安全转义和格式化来净化输入，从而防范SQL注入攻击。 BleepingComputer已联系Radykal，询问其是否计划近期发布安全更新，但截至发稿时尚未收到回复。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一项新的研究发现，组织允许员工在使用软件即服务（SaaS）应用程序（如Google Workspace和Microsoft 365）时使用的许多浏览器扩展可以访问高级别的内容，并存在数据盗窃和合规性问题等风险。 Spin.AI的研究人员最近对企业环境中使用的约 300,000个浏览器扩展和第三方OAuth应用程序进行了风险评估。重点是跨多种浏览器（例如Google Chrome和Microsoft Edge）的基于Chromium的浏览器扩展。 研究显示，所有已安装的扩展中有51%具有高风险，有可能对使用它们的组织造成广泛损害。这些扩展程序都能够从企业应用程序捕获敏感数据，运行恶意JavaScript，并秘密向外部各方发送包括银行详细信息和登录凭据在内的受保护数据。Spin评估的大多数扩展（53%）都是与生产力相关的扩展。但最糟糕的——至少从安全和隐私的角度来看——是云软件开发环境中使用的浏览器扩展，Spin评估其中56%为高安全风险。 本周发布的一份报告表示：“这些扩展虽然提供了各种功能来增强用户体验和生产力，但可能会对存储在Chrome和Edge等浏览器中的数据或存储在Google Workspace和Microsoft 365等平台中的SaaS数据构成严重威胁。” 一个例子是最近的一起事件，其中黑客上传了一个浏览器扩展程序，该扩展程序声称是合法的 ChatGPT 浏览器插件，但实际上是劫持 Facebook 帐户的特洛伊木马。成千上万的用户安装了该扩展程序，并立即被盗了他们的Facebook帐户凭据。受感染的帐户包括数千个企业帐户。 Spin的分析显示，拥有2000多名员工的组织平均安装了1454个分机。其中最常见的是与生产力相关的扩展、帮助开发人员的工具以及能够实现更好可访问性的扩展。超过三分之一（35%）的此类延期存在高风险，而在员工少于2000人的组织中，这一比例为27%。 Spin的报告得出的一个惊人结论是，匿名作者的浏览器扩展数量相对较高，为42938个，组织似乎可以自由使用这些扩展，而不考虑任何潜在的安全隐患。考虑到任何有恶意的人都很容易发布扩展，这一统计数据尤其令人担忧。 更糟糕的是，在某些情况下，组织使用的浏览器扩展来自官方市场之外。公司有时也会为内部使用构建自己的扩展并上传，这可能会带来额外的风险，因为这些来源的扩展可能不会像官方商店中的扩展一样经过同等程度的审查和安全检查。 Spin还发现，浏览器有时还会通过自动更新获得恶意品质。当攻击者渗透到组织的供应链并在合法更新中插入恶意代码时，就会发生这种情况。开发人员还可以将他们的扩展出售给其他第三方，然后第三方可能会使用恶意功能对其进行更新。因此，对于组织和企业来说，建立和执行基于第三方风险管理框架的政策很重要，他们需要评估运营的扩展和应用程序。     转自E安全，原文链接:https://mp.weixin.qq.com/s/iroFqYWp2EcR6Q0AeURlGQ 封面来源于网络，如有侵权请联系删除

WordPress网站的终极会员插件中有多达20万个未修补的关键安全漏洞，如今面临着很高的攻击风险。 该漏洞被追踪为CVE-2023-3460 (CVSS得分：9.8)，影响所有版本的Ultimate Member插件，包括2023年6月29日发布的最新版本(2.6.6)。 Ultimate Member是一个比较受欢迎的插件，它有助于在WordPress网站上创建用户配置文件和社区，并可提供帐户管理功能。 WordPress安全公司WPScan在警报中提到，这是一个非常严重的问题，因为未经身份验证的攻击者可能会利用这个漏洞创建具有管理权限的新用户帐户，从而实现夺取网站的完全控制权。 但该漏洞源于不适当的阻止列表逻辑，所以无法将新用户的wp_capabilities用户元值更改为管理员的用户元值，从而获得对站点的完全访问权。 Wordfence研究员Chloe Chamberland称，虽然该插件有一个预先定义的禁用键列表。但还有一些更简单的方法可以绕过过滤器，例如在插件的易受攻击版本中利用各种大小写，斜杠和提供的元键值中的字符编码。 有报道称，受影响的网站上出现了一些非法管理员账户，因此该插件在2.6.4、2.6.5和2.6.6版本发布了部分修复程序，还有一个新的版本更新预计将在未来几天发布。 WPScan指出，这些补丁是不完整的，已经发现了许多绕过它们的方法，这意味着该漏洞仍然可以被积极利用，比如，该漏洞被用于以apadmins、se_野蛮、segs_野蛮、wpadmins、wpengine_backup和wpenginer等名称注册新帐户，通过网站的管理面板上传恶意插件和主题。 此外WPScan还建议广大用户，直到该安全漏洞被完全修复前，都建议Ultimate Member的用户禁用该插件，最好审计网站上的所有管理员级用户，以确定是否添加了未经授权的帐户。 终极会员2.6.7版发布 7月1日，Ultimate Member的作者发布了该插件的2.6.7版本，以解决被积极利用的特权升级漏洞。作为一项额外的安全措施，他们还计划在插件中发布一个新功能，使网站管理员能够重置所有用户的密码。 此外， 网站维护人员还表示：2.6.7引入了我们在发送表单时存储的元键白名单，并且分离了表单设置数据和提交数据，可在两个不同的变量中操作它们。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370917.html 封面来源于网络，如有侵权请联系删除