30万次安装的Catch Themes WordPress插件存在漏洞

30万次安装的Catch Themes WordPress插件存在漏洞插图

Catch Themes LLC发布的17个WordPress插件的30多万次安装被发现存在漏洞。 WPScan和Wordfence的安全研究人员发现Catch Plugins(Catch Themes, LLC的一个分部)发布的17个插件存在漏洞。这些漏洞被评为高等级,可能导致攻击者能够改变插件的配置。

跨站请求伪造(CSRF)

一个用户认证漏洞(缺乏能力检查)和一个跨网站请求伪造(CSRF)漏洞正在影响由Catch Themes发布的17个插件。这些漏洞允许任何登录的用户,甚至是订阅者,执行通常只保留给具有最高编辑权限的WordPress用户(如网站的管理员)的修改。

根据WordPress安全插件发布者WPScan的说法。

“CatchThemes供应商的多个插件在ctp_switch的AJAX动作中不执行能力和CSRF检查,这可能允许任何认证用户,如订阅者,改变插件的配置。”

Wordfence报告Catch Demo导入WordPress插件存在漏洞

Wordfence发布了一份通知,在其中一个插件中也发现了一个严重的漏洞,即Catch Themes Demo Import(版本1.7以下,包括版本1.7)。

Catch Themes Demo Import WordPress插件被发现存在一个任意文件上传漏洞。目前还不清楚这个具体的漏洞有多严重。该漏洞被Wordfence评为9.1级(1-10),并被描述为关键。然而,该漏洞被列入美国政府国家漏洞数据库,评级为7.2(高)。

根据Wordfence的说法。

“Catch Themes Demo Import WordPress插件由于文件类型验证不足,在1.7以下(包括1.7)的版本中,通过~/inc/CatchThemesDemoImport.php文件中的导入功能存在任意文件上传的风险”

Wordfence建议升级到1.8版本,或更新的版本。

17个Catch Themes WordPress插件被发现存在漏洞

WPScan列出了17个被发现存在漏洞的Catch Themes WordPress插件。这17个插件都已向插件发布者披露,并已被修复。

超过30万个装置受到影响

在这17个插件中,有许多是非常受欢迎的。这些是前10个最受欢迎的Catch Themes插件,旁边列出了安装数量。

十大最受欢迎的易受影响的Catch主题插件

  1. To Top – 80,000 Installations
  2. Essential Content Types – 50,000 Installations
  3. Catch IDs – 40,000 Installations
  4. Catch Web Tools – 20,000 Installations
  5. Social Gallery and Widget – 20,000 Installations
  6. Catch Infinite Scroll – 20,000 Installations
  7. Catch Gallery – 20,000 Installations
  8. Essential Widgets – 20,000 Installations
  9. Catch Instagram Feed Gallery & Widget (Social Gallery and Widget) – 20,000 Installations
  10. Catch Themes Demo Import – 10,000 Installations

17个Catch Themes易受攻击的插件

这些是WPScan报告的17个插件,它们有一个漏洞,随后被修补。

  1. Essential Widgets
    Fixed in version 1.9
  2. To Top
    Fixed in version 2.3
  3. Header Enhancement
    Fixed in version 1.5
  4. Generate Child Theme
    Fixed in version 1.6
  5. Essential Content Types
    Fixed in version 1.9
  6. Catch Web Tools
    Fixed in version 2.7
  7. Catch Under Construction
    Fixed in version 1.4
  8. Catch Themes Demo Import
    Fixed in version 1.6
  9. Catch Sticky Menu
    Fixed in version 1.7
  10. Catch Scroll Progress Bar
    Fixed in version 1.6
  11. Catch Instagram Feed Gallery & Widget (Social Gallery and Widget)
    Fixed in version 2.3
  12. Catch Infinite Scroll
    Fixed in version 1.9
  13. Catch Import Export
    Fixed in version 1.9
  14. Catch Gallery
    Fixed in version 1.7
  15. Catch Duplicate Switcher
    Fixed in version 1.6
  16. Catch Breadcrumb
    Fixed in version 1.7
  17. Catch IDs
    Fixed in version 2.4

建议用户考虑更新到最新的插件版本

使用受影响的Catch Themes插件的出版商,如果希望避免因使用这些插件的脆弱版本而产生意外后果,应考虑升级到目前可用的最新版本的插件。如果不这样做,可能会导致不必要地暴露在黑客事件中。

 收藏 (0) 更新不易,打赏吧

您可以选择一种方式赞助本站

支付宝扫一扫赞助

微信钱包扫描赞助

除特别注明外,本站所有文章均基于CC-BY-NC-SA 4.0原创,转载请注明出处。
文章名称:《30万次安装的Catch Themes WordPress插件存在漏洞》
文章链接:https://www.banzhuti.com/12356.html
分享到: 生成海报
版权免责声明

① 本站提供的资源(插件或主题)均为网上搜集,如有涉及或侵害到您的版权请立即通知我们。
② 本站所有下载文件,仅用作学习研究使用,请下载后24小时内删除,支持正版,勿用作商业用途。
③ 因代码可变性,不保证兼容所有浏览器、不保证兼容所有版本的WP、不保证兼容您安装的其他插件。
④ 本站保证所提供资源(插件或主题)的完整性,但不含授权许可、帮助文档、XML文件、PSD、后续升级等。
⑤ 由本站提供的资源对您的网站或计算机造成严重后果的本站概不负责。
⑥ 使用该资源(插件或主题)需要用户有一定代码基础知识!另本站提供汉化使用安装教程,仅供参考。
⑦ 有时可能会遇到部分字段无法汉化,同时请保留作者汉化宣传信息,谢谢!
⑧ 本站资源售价只是赞助和汉化辛苦费,收取费用仅维持本站的日常运营所需。
⑨ 如果喜欢本站资源,欢迎捐助本站开通会员享受优惠折扣,谢谢支持!
⑩ 如果网盘地址失效,请在相应资源页面下留言,我们会尽快修复下载地址。

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

WordPress主题 插件 建站 汉化

定制服务联系我们
切换注册

登录

点击按钮进行验证

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活