Wishlist 插件曝 CVSS 10.0 漏洞:威胁超 10 万 WordPress 站点
HackerNews 编译,转载请注明出处: 网络安全研究人员披露了TI WooCommerce Wishlist插件存在关键未修补漏洞,该WordPress插件允许未经验证的攻击者上传任意文件。 这款活跃安装量超10万的电商插件,主要功能是让用户收藏商品并分享心愿清单至社交媒体平台。“该插件存在任意文件上传漏洞,攻击者无需认证即可向服务器上传恶意文件。”Patchstack研究员约翰·卡斯特罗指出。该漏洞编号CVE-2025-47577,CVSS评分为10.0分,影响2024年11月29日发布的2.9.2及之前所有版本,目前尚无补丁可用。 漏洞源于“tinvwl_upload_file_wc_fields_factory”函数调用WordPress原生函数“wp_handle_upload”时,将覆盖参数“test_form”和“test_type”设置为false。其中“test_type”参数本应验证文件MIME类型,“test_form”用于检查$_POST[‘action’]参数。当“test_type”设为false时,文件类型验证机制被完全绕过。 需注意的是,该漏洞函数仅当WC Fields Factory插件启用时,通过tinvwl_meta_wc_fields_factory或tinvwl_cart_meta_wc_fields_factory接口暴露。这意味着成功利用漏洞需同时满足两个条件:WordPress站点安装并启用了WC Fields Factory插件,且TI WooCommerce Wishlist插件中开启了该集成功能。 在攻击场景中,攻击者可上传恶意PHP文件并通过直接访问实现远程代码执行。建议开发者在使用wp_handle_upload()时移除或避免设置‘test_type’ => false。在官方补丁发布前,用户应立即停用并删除该插件。 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
安全专家验证 PayPal 服务器存在无限制文件上传漏洞过程
据外媒 7 月 23 日报道,安全专家 Vikas Anil Sharma 发现 PayPal 服务器存在文件上传漏洞,允许攻击者远程执行恶意代码。以下是 Vikas 验证漏洞过程: 安全专家 Vikas 利用 Burp 软件访问 PayPal Bug Bounty 页面 http://paypal.com/bugbounty/ ,跳出如下响应。 随后,专家集中分析 PayPal 域名列表中所提及的安全内容策略:域名标头 。尤其是https://*.paypalcorp.com。此外,Vikas 通过复制本地子域名列表并运行 “ dig -f paypal +noall +answer ” 后发现,所有子域名实际采用某种简单方式指向多个域名。例如,子域名 “ brandpermission.paypalcorp.com ” 指向 “ https://www.paypal-brandcentral.com/ ”,这是一家托管 PayPal 的供应商网站,其供应商与合作伙伴在线支持 PayPal 系统网站并请求获取更多授权。 据称,该网站允许用户上传标识图样以及品牌相关图形设计。因此,专家首先通过上传简单图像 finished.jpg 分析目标图片文件夹、创建工单(网络软件管理系统)并被存储于目录 “ /content/helpdesk/368/867/finishedthumb.jpg ” 中。Vikas 发现工单编号与文件编号是以串行方式生成。 此外,Vikas 还上传了 .php 格式扩展文件而并非图像,发现应用程序无需验证文件类型与内容。不同的是,Vikas 从上传图像文件中注意到多数情况下不会发现上传路径。然而,Vikas 在上传文件 success.php 时,跟上传图片类似,假设这个文件会存储为 success_thumb.php 并决定爆破文件所在目录。 一旦发现文件所在目录,专家将远程执行恶意代码: https: //www.paypal-brandcentral.com/content/_helpdesk/366/865/success.php?cmd=uname-a;whoami 目前,安全专家虽然已修复该漏洞,但他们又在 PayPal 服务器中发现另一漏洞。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。